Los bancos siguen anulando tarjetas de crédito de clientes de Air Europa semanas después del ciberataque
Las consecuencias de la grave brecha de seguridad que Air Europa sufrió en su sistema de pagos siguen dejándose notar entre sus clientes. El 10 de octubre la aerolínea comunicó a miles de usuarios que debían cancelar sus tarjetas de crédito de inmediato después de que un ciberataque lograra hacerse con todos los datos relativos a estas, incluido el Código de Verificación o CVV. Según ha podido saber elDiario.es, varias entidades bancarias siguen bloqueando tarjetas que realizaron compras de vuelos con la aerolínea, incluso aunque no recibieran la notificación de Air Europa.
Así están actuando el BBVA o el Banco Santander. “BBVA ha activado el protocolo habitual relativo a este tipo de situaciones para proteger a sus clientes. En este sentido, ha procedido a bloquear las tarjetas y generar nuevas”, aseguran desde la entidad a preguntas de este medio. Fuentes del Santander exponen que tarjetas que habían hecho compras con Air Europa quedaron “marcadas” en sus sistemas y que se está procediendo a retirarlas de manera “preventiva”, hayan recibido la comunicación de aviso de la aerolínea o no.
Contactada por elDiario.es, la compañía aérea se ha negado una vez más a desvelar cuántos clientes quedaron afectados por la brecha, durante cuánto tiempo estuvo abierta o cómo se extrajeron los datos. “En Air Europa hemos seguido al detalle los pasos requeridos cuando ocurren casos como el acontecido el pasado 10 de octubre. Todos los clientes afectados han sido informados y, a día de hoy, es totalmente seguro realizar compras en nuestra web”, afirman.
En uno de los casos de bloqueo de tarjeta de crédito por decisión del banco (y a pesar de no haber recibido la comunicación de aviso por parte de la aerolínea) de los que ha tenido constancia este medio, la última compra de vuelos de Air Europa se realizó el 15 de agosto. Esto indica que las entidades manejan la posibilidad de que la brecha de seguridad de la aerolínea estuviera abierta casi dos meses.
El período no sería muy diferente al que calcula la propia aerolínea. Entre los casos en los que sí envió el correo de advertencia hay tarjetas de crédito cuya última compra de vuelos se realizó el 29 de agosto, según ha podido contrastar elDiario.es a través de clientes que lo recibieron.
Uno de los ciberataques más graves de su tipo
Este rango de fechas colocaría el ciberataque a Air Europa como una de las interceptaciones de datos de pago más graves sufridas por una empresa de esta envergadura. Hasta entonces, el máximo lo marcaba otra aerolínea, British Airways. Ocurrió en 2018 y la brecha estuvo abierta durante dos semanas, traduciéndose en el robo de los datos de las tarjetas de crédito de 380.000 personas. En aquel momento, la aerolínea británica informó de la cifra de afectados desde su primera comunicación del ciberataque.
La negativa de Air Europa a dar información sobre la brecha impide, por el momento, saber si los métodos utilizados fueron los mismos que en el caso de la compañía británica, pero la mayoría de expertos en ciberseguridad consultados por este medio señalan en esa dirección. La otra posibilidad, explican, es que Air Europa estuviera almacenando los datos de las tarjetas de crédito (incluido el CVV) en sus bases de datos.
Esa práctica está prohibida por las normas financieras debido a los graves riesgos de seguridad que entraña. Sin embargo, Air Europa ya fue multada en 2021 por la Agencia Española de Protección de Datos (AEPD) por llevarla a cabo. El organismo la sancionó con 600.000 euros tras investigar otra brecha de seguridad sufrida por la aerolínea y descubrir que esta estaba almacenando los CVV de manera irregular.
Ahora, la AEPD se encuentra de nuevo analizando los detalles de la nueva incidencia. “Las brechas de datos personales son analizadas en primer lugar por la División de Innovación Tecnológica de la Agencia, que evalúa si se traslada o no a la Subdirección de Inspección de Datos. Por el momento, esta brecha está en la fase de análisis de la División”, detallan a elDiario.es fuentes del organismo.
2