La banca rastrea a los clientes afectados por el hackeo a Air Europa

Fue durante la madrugada de este martes cuando empezaron a llegar los primeros emails a los usuarios por parte de Air Europa, advirtiendo de que habían quedado expuestos los números de tarjeta, la fecha de caducidad y el código CVV -que figura en el reverso y son unos dígitos que sirven de método de seguridad-. Con ellos en manos de terceros, el cliente queda totalmente vulnerable.

La aerolínea indicó que «desde el primer momento han puesto en marcha todos sus recursos para contener el incidente» y que, además, «han realizado las debidas notificaciones» como se requiere que se haga en estas situaciones. Afirmó que «no hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude», aunque confirmaron que continúan analizando lo sucedido, la procedencia del hackeo o el uso que se pueda dar a los datos robados.

Sin embargo, varias fuentes bancarias confirman que algunas entidades financieras no se enteraron del ciberataque por boca de Air Europa, sino que fue «en procesos internos» cuando detectaron durante la madrugada el hackeo.

En todo caso, un suceso de esta índole ha activado todos los protocolos de seguridad en el sector bancario. Las entidades disponen de procedimientos a seguir en estos supuestos y en gran parte coinciden entre ellas. En primer lugar, lo que han realizado y continúan haciendo es un cribado masivo entre sus clientes para ver quiénes han interactuado con el entorno de pagos de Air Europa; fuentes financieras destacan que se están recogiendo datos de usuarios incluso de hace más de un mes para tratar de ser lo más rigurosos posible en el análisis de la situación.

Ese es un trabajo que no se realiza en pocas horas y también depende del volumen de clientes de cada entidad. En todo caso, algunas entidades han ido procediendo a impedir y cancelar todas las operaciones con tarjeta en formato no presencial realizadas en nombre de clientes que puedan estar afectados. Una medida de seguridad a la espera de conocer el alcance real del ataque, para lo cual se avisa a los perjudicados.

En todo este asunto será fundamental el análisis que realice Redsys, una empresa propiedad de los bancos, que trabaja en buena medida para ellos y que se encarga del procesamiento de los pagos con tarjeta. De ella dependen todas las entidades españolas y es quien más información sobre el ciberataque, si va a más, podría recopilar.

Fuentes bancarias destacan que lo más importante al principio, la primera reacción, debe ser evitar el uso fraudulento de los datos bancarios. Bloquear las tarjetas afectadas, como recomendó Air Europa en su comunicado, avisar al banco y monitorizar en las próximas semanas los movimientos en cuenta. Así las cosas, fuentes bancarias confirman que ayer se produjo un goteo constante de clientes -afectados o no por el suceso- que iban a cancelar sus tarjetas, y también a realizar consultas; por el momento se desconoce el número de perjudicados.

Asimismo, el jefe de investigación de la empresa de ciberseguridad ESET, Josep Albors, argumenta que al tener estos datos, los ciberdelincuentes podrían utilizarlos para clonar las tarjetas de crédito de los afectados y utilizarlas para realizar pagos. Y por tanto, es «importante que estén atentos a posibles cargos que se hayan realizado en sus cuentas bancarias» y que «bloqueen sus tarjetas».

Una vez contenido el daño todo lo posible es momento para investigar a fondo lo sucedido, indican desde la banca.

El director para España de la empresa de soluciones de seguridad informática Check Point, Eusebio Nieva, cree que «los delincuentes parecen haber atacado la base de datos en la que se guarda la información sobre las tarjetas» y que puede haber sido con técnicas 'call injection', que son «una forma muy sencilla de extraer datos sin necesidad de tener acceso». El experto apunta además que este ataque «evidencia la falta de protección y demuestra la poca ciberseguridad de la compañía», que ya fue multada en 2021 por esta misma razón. Situación sobre la que también ha alertado la OCU, que recuerda que el ataque de 2021 afectó a 489.000 clientes. Los hackers llegaron entonces a usar hasta 4.000 tarjetas de créditos de clientes para su uso fraudulento.

Entonces, la Agencia Española de Protección de datos (AEPD) sancionó a la compañía por comunicar la brecha de seguridad con 41 días de retraso, «cuando es obligatorio hacerlo en las 72 horas siguientes». El hackeo por el que fue multada la empresa de la familia Hidalgo ocurrió en el año 2018 y en este precedente los ciberdelincuentes también consiguieron sustraer datos personales de los clientes.

Noticia Relacionada

Air Europa sufre un hackeo que afecta a los datos de las tarjetas de sus clientes: ¿qué hacer si soy víctima del ciberataque?

ABC

La compañía ha pedido por correo electrónico a los usuarios afectados que anulen sus tarjetas bancarias

Pero en este caso, la compañía todavía propiedad del grupo Globalia asegura haber notificado en tiempo y forma los hechos a la AEPD, Incibe, AESA y a las entidades financieras. La aerolínea asegura que se topó con el percance durante la madrugada del martes y por el momento se descarta que los ciberataques comenzaran a producirse en los días previos a su descubrimiento.

Según la aerolínea balear, los datos extraídos han sido exclusivamente los asociados a las propias tarjetas y no se han sutraido otros datos de los clientes. «En ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal», explicaron a este periódico fuentes de la compañía.

En cuanto a su operativa tras el incidente, la empresa aseguró que todos los sistemas funcionan con total normalidad y que la seguridad de las compras a través de su web estaba garantizada.