En 2018 Air Europa sufrió uno de los robos de datos más graves que han afectado a las empresas españolas. Aunque los datos varían según el informe forense, se estima que los atacantes se hicieron con la información de medio millón de tarjetas de crédito y 1,5 millones de registros. Fue una brecha crítica porque la filtración afectó a “al menos 2.651 números de tarjeta únicos, CVVs, fechas de vencimiento y nombres de titular de la tarjeta”. Es decir, toda la información necesaria para realizar cargos desde cualquier parte del mundo, lo que obligó a sus clientes a cancelar las tarjetas de inmediato.
En octubre de 2023 salió a la luz que Air Europa había vuelto a sufrir un ciberataque de similar gravedad. La aerolínea envió un mensaje de a sus clientes en el que les pedía que anularan sus tarjetas de crédito después de que otro robo de datos afectara no solo al nombre y número de estas, sino también al código de verificación. Un número que las normas de seguridad financiera prohíben registrar en la base de datos, pero que por segunda vez se veía comprometido en una brecha de Air Europa.
El primer ciberataque se saldó con una multa de 600.000 euros por parte de la Agencia Española de Protección de Datos (AEPD). Medio millón por las “numerosas vulnerabilidades graves” en sus sistemas de seguridad que reflejan los informes forenses, más otros 100.000 euros por haber tardado 41 días en comunicar la brecha al organismo en vez de las 72 horas que marca la ley. A los afectados nunca se les comunicó.
La compañía recurrió la multa ante la Audiencia Nacional, que ahora la ha confirmado de manera íntegra. Air Europa alegó que la sanción era excesiva ya que solo 21 clientes se pusieron en contacto con la compañía para preguntar por el posible ciberataque, por lo que asegura que el impacto de la brecha fue escaso. Además, dice que tuvo constancia del ciberataque el 29 de noviembre, más de un mes después de lo que asegura la fecha que toma como referencia la AEPD, que asegura que fue el 18 de octubre.
El regulador de la privacidad toma esa fecha porque un día antes, el 17 de octubre, el Banco Popular se puso en contacto con Air Europa para alertar a la aerolínea del uso fraudulento de las tarjetas de sus clientes. Tras esta notificación, la compañía activó el modo de gestión de incidentes, lo que para Audiencia confirma que fue en ese momento cuando tuvo constancia de la brecha. “No nos encontramos con una notificación incompleta, tardía o defectuosa de la información relacionada con la brecha de seguridad puesta a disposición de la autoridad de control”, recalca en la sentencia, “sino de un incumplimiento de la notificación a la autoridad de protección de datos”.
El tribunal también deshecha los argumentos de la aerolínea en lo referente a la gravedad del incidente “con independencia de que solamente 21 interesados presentaron ante Air Europa peticiones de información sobre el incidente”. “El daño por la existencia de vulneraciones en las medidas de seguridad se produjo por la filtración de datos personales correspondientes a un gran numero de tarjetas de crédito de que un gran número de tarjetas de crédito, unas 4.000, que habían sido utilizadas para cometer fraude”, señala la Sala de lo Contencioso, lo que acredita “la existencia de daños y perjuicios a los interesados”.
Interceptación de datos
Las cifras del ciberataque de 2023 siguen en secreto. La compañía se ha negado a ofrecer ninguna información sobre cuántos usuarios quedaron afectados en este segundo ataque ante preguntas de elDiario.es y se remite a que es un caso que aún permanece en investigación. No obstante, este medio ha podido confirmar que la brecha afectó a clientes que realizaron sus compras de billetes a principios de agosto de 2023, lo que implicaría que estuvo abierta al menos dos meses.
Por los pocos detalles que han salido a la luz, este segundo ataque habría seguido la estructura de ataque que se basa en interceptar los datos de pago mientras estos se están produciendo. Los ciberdelincuentes logran colocarse entre el cliente y la empresa, por lo que el ataque se conoce como man in the middle (hombre en el medio). “Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor controlado por los atacantes”, explicaba Luis Corrons, experto en ciberseguridad de Avast, cuando salió a la luz el incidente.
Aunque es habitual en el comercio electrónico, los casos más graves se han dado en aerolíneas. Además de los de Air Europa, uno de los ciberataques de este tipo que robo una mayor cantidad de información fue el de British Airways, también en 2018, en el que se filtraron los datos de las tarjetas de unos 380.000 clientes.