A las 1:41 de la madrugada un email a llegado a mi cuenta, con un remitente y un asunto que en otras circunstancias me habrían puesto nerviosa: era de Iberia y tenía como asunto ‘Aviso importante sobre datos personales‘. Cuando me lo he encontrado esta mañana he tenido sentimientos encontrados y de mis labios ha salido una frase que no suelo decir cuando tomo sus vuelos: Ya era hora.
Porque la principal aerolínea del estado español, que suele jactarse de la efectividad de su compromiso de puntualidad, ha llegado muy tarde a informar a sus clientes de un robo de información personal a través de un ciberataque. Afortunadamente para mí, ya había cambiado la contraseña en cuanto saltó la liebre… el 14 de noviembre.
Iberia empezó a avisar a sus clientes 8 días después
Ese día Daily Dark Web alertaba del ataque para la posterior puesta en venta de 77GB de información privada en la Dark Web. El medio detallaba que los datos extraídos de los servidores internos de la aerolínea eran esencialmente información técnica bastante valiosa que incluía programas confidenciales de mantenimiento de aeronaves, así como registros de mantenimiento, esquemas técnicos e inspecciones, el certificado del operador aéreo, firmas digitales internas o volcados de bases de datos del sistema. En Escudo Digital se desvelaba también el precio puesto al rescate: 150.000 dólares.
El 25 de noviembre, el grupo de ransomware Everest se atribuía la filtración de datos de Iberia, afirmando haber exfiltrado 596 GB de datos internos de la compañía y solicitando un rescate de seis millones de dólares para evitar la filtración, como contaba el día después Daily Dark Web.
Vía: Dayly Dark Web
Asimismo, en la reivindicación de la autoría del ataque explicaban que la información robada no solo era técnica, sino que había datos personales de los clientes de Iberia como el nombre al completo de los pasajeros, direcciones de email y número de teléfono, detalles del programa de viajero frecuente, números de reserva, necesidades y preferencias especiales y los registros internos de reservas y transacciones.
Entre la primera noticia del ataque y la confirmación de Everest pasaron once días, pero es que a Iberia le costó informar a sus clientes una semana: los primeros mensajes comenzaron a verse en redes el pasado 22 de noviembre y a servidora le ha llegado ya hoy 29 de noviembre.
En el mail recibido Iberia admite ‘un incidente de seguridad relacionado con un acceso no autorizado a los sistemas de un proveedor de Iberia, que ha comprometido la confidencialidad de ciertos datos.’ ¿Qué datos? Según la aerolínea, el nombre y apellidos; correo electrónico; o número de identificación de tarjeta de fidelización (Iberia Club).
Iberia comunica asimismo que ‘en ningún caso se han visto comprometidos sus datos de acceso a las cuentas de Iberia ni sus contraseñas ni han podido acceder a la información total de sus tarjetas bancarias que, por tanto, no son usables.’ No obstante, la primera medida a llevar a cabo como cliente debería ser cambiar la contraseña por otra nueva y más robusta y extremar las precauciones ante cualquier movimiento extraño en las cuentas bancarias y a la hora de recibir mensajes al correo o al móvil. La palabra clave es: total.
Porque aunque según Iberia, tras conocer el incidente han activado sus protocolos de seguridad, están investigando el incidente para mitigarlo y que no vuelva a suceder y no les consta que se haya materializado ningún uso fraudulento de estos datos, mejor andar con mil ojos ante cualquier acción sospechosa, como por ejemplo un mensaje fraudulento haciéndose pasar por Iberia para conseguir más datos. La aerolínea ha facilitado su número de soporte ante cualquier sospecha: +34 900111500.
El envío de un comunicado informando a sus clientes forma parte del protocolo de actuación ante ciberataques y es de obligado cumplimiento de acuerdo con la legislación vigente. Eso sí, el aviso llega 8 días tarde como poco y además se centra en la parte del robo que atañe a los clientes, lo que deja unas cuantas incógnitas.
Así, los primeros datos conocidos del robo detallaban el acceso no autorizado a información técnica y de un volumen de datos, cuando después supuestamente el volumen es mayor y afecta a información de los clientes, como después ha relatado Iberia. No obstante, la aerolínea no tiene obligación de informar al usuario final del robo de información técnica confidencial.
En cualquier caso, esperamos que Iberia haya actuado con diligencia y más celeridad que a la hora de comunicar a sus clientes. Cumplir con la legalidad está bien en tanto en cuanto haces lo correcto, pero si además avisas cuanto antes, permites que tus clientes tomen medidas más pronto que tarde o incluso, minimizar el riesgo de que piquen ante posibles casos de suplantación de identidad.
Respecto al acceso no autorizado, la propia Iberia explica que se produjo a través de un proveedor, normalmente el eslabón más débil de la cadena. En cualquier caso y con la normativa en la mano, Iberia es la principal responsable.
En Genbeta | Un directivo de Iberia cuenta qué pasa cuando utilizamos el ‘modo incógnito’ para conseguir billetes más baratos
Portada | Pantallazo Gmail, Iberia