¿Qué ha pasado en el ciberataque a Air Europa?

Más de 100.000 clientes de Air Europa recibieron hace una semana una comunicación por parte de la compañía, donde se les informaba acerca de un ciberataque que comprometía sus datos.

“Le comunicamos que recientemente se detectó un incidente de ciberseguridad en uno de nuestros sistemas consistente en un posible acceso no autorizado a datos de su tarjeta bancaria”, detallaba la empresa en dicho mensaje, tal y como informaba el Instituto Nacional de Ciberseguridad (INCIBE).

Air Europa precisaba que los datos robados eran el número de tarjeta bancaria, así como la fecha de caducidad y el CVV de la misma. De esta forma, la compañía urgía a sus clientes para que anulasen dicha tarjetas.

“Ante el riesgo de suplantación de tarjetas y fraude que este incidente podría suponer, y en aras a proteger sus intereses, le recomendamos que siga los siguientes pasos: identifique la tarjeta usada para efectuar pago/s en la página web de Air Europa; contacte con su entidad bancaria; solicite la anulación/cancelación/sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información; no facilite información personal, su pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria; no pinche enlaces que le avisen de operaciones fraudulentas. Póngase en contacto directo con su entidad bancaria por medios constatables, y recopile cualquier prueba de posible uso no autorizado de su tarjeta y denúncielo ante las Fuerzas y Cuerpos de Seguridad del Estado”, especificaba Air Europa en su mensaje.

¿Qué ha pasado?

Las circunstancias del incidente no están claras. “No se han proporcionado detalles del ataque, por lo que sólo se pueden hacer suposiciones acerca del mismo”, afirma Josep Albors, director de Investigación y Concienciación de ESET España.

“Parece tratarse de un ataque tipo formjacking, también conocido como Magecart —por uno de los grupos que comenzó a popularizar este tipo de ataque— o web skimming”, indica Luis Corrons, security evangelist de Avast.

Albors coincide con él. “Una hipótesis es que los atacantes hayan usado la técnica del web skimming, que consiste en el robo al vuelo de la información introducida en los campos que rellenamos, por ejemplo, a la hora de adquirir un billete de avión. Los delincuentes consiguen modificar el código fuente de la página web legítima para obtener datos valiosos como los de las tarjetas de crédito, datos que son enviados a servidores controlados por los atacantes”, especifica.

Recuerda que “un incidente como el descrito le ocurrió a la compañía British Airways en septiembre de 2018, lo que posteriormente le acarreó una multa de 183 millones de libras esterlinas”.

Por otro lado, señala que “otra de las hipótesis, aunque menos probable, es que los atacantes hubieran conseguido acceder a los sistemas encargados de almacenar datos sensibles como los de las tarjetas de crédito usadas por los clientes”.

Sin embargo, recuerda que “el cumplimiento de la normativa PCI DSS no permite que se almacenen ciertos datos y, menos aún sin cifrar, por lo que este tipo de ciberataque resulta menos probable en este caso”.

Raquel Puebla, analista de Ciberinteligencia de Entelgy Innotec Security, cree que “la acción contra Air Europa habría consistido en la interceptación de los datos bancarios de los usuarios de la organización”.

“Podría haberse tratado de un ciberataque del tipo Man in the Middle o, lo que es lo mismo, un ataque de intermediario, según el cual el ciberdelincuente adquiere la capacidad de posicionarse entre dos individuos o entidades que estén intercambiando mensajes con la finalidad de leerlos o modificarlos. Así, existe la posibilidad de que los atacantes hubiesen manipulado los registros DNS de la pasarela de pago creando un paso intermedio en el que el actor obtiene los datos de los clientes que tratan de realizar una transacción con Air Europa y que finalmente se hace efectiva para evadir sospechas”, puntualiza.

¿Cuál ha sido la puerta de entrada?

Todavía no se ha desvelado cuál ha sido la vía de acceso de los ciberdelincuentes. “No sabemos cómo han conseguido inyectar el script malicioso en la página web de Air Europa. Puede haber sido una vulnerabilidad, alguna cuenta de administrador web que haya sido comprometida… Con este código, cada vez que un usuario añade sus datos, también los recibe el servidor externo y, por ende, los ciberdelincuentes. ¿Podría haberse evitado? Quizás, pero también podría tratarse de una nueva vulnerabilidad que no tuviera solución actualmente. No es lo más probable, pero no lo podemos descartar”, declara el experto de Avast.

En cuanto a lo que podría haber fallado, opina que podría ser que “Air Europa no tuviera instalados algunos últimos parches de seguridad o últimas versiones de software, que no tenga implementado múltiple factor de autenticación en algunos servicios o un error de configuración o de asignación de permisos”.

En cualquier caso, Albors hace hincapié en que “es difícil apuntar a un fallo en concreto sin saber a ciencia cierta cual ha sido el método por el cual los atacantes se habrían hecho con estos datos”.

No obstante, señala que “algunas de las técnicas usadas habitualmente incluyen la utilización de credenciales robadas previamente o adivinadas por ataques de fuerza bruta, la explotación de vulnerabilidades o incluso la ingeniería social para acceder a un sistema dentro de la red de la empresa y, desde allí, moverse por esa red hasta acceder a los sistemas objetivos”.

Itxaso Reboleiro, analista de ciberinteligencia en Entelgy Innotec Security, también alude al desconocimiento de los detalles técnicos del ciberataque para poder saber si se podría haberse evitado.

Partiendo de la hipótesis de que se hubiera debido a las técnicas Man in the Middle con manipulación de servidores DNS, como se apuntaba más arriba, comenta que “es posible que los atacantes hubiesen explotado alguna vulnerabilidad conocida en los servidores DNS más antiguos”.

“La puerta de entrada habría sido, presuntamente, el sistema de pasarela de pago mediante el cual los clientes introducen sus datos bancarios para adquirir un servicio, al que se puede acceder desde la aplicación web de la organización, de modo que el ciberdelincuente se habría posicionado entre el sistema y el servidor DNS para interceptar la información transmitida desde un punto al otro”.

¿Quiénes están detrás?

Tampoco conocemos quiénes son los responsables de este ataque. “Desconocemos quién está detrás ahora mismo, pero viendo que su objetivo es robar datos de tarjetas de crédito, es bastante claro que se trata de ciberdelincuentes con cierta experiencia”, anota Corrons.

Además, José Carlos Alva, experto en Ciberseguridad de Kyndryl España y Portugal, opina que “el principal motivo es el económico, generalmente buscado por una industria cibercriminal que cuenta con subcontrataciones, personal dedicado e incluso divisiones de I+D”.

Asimismo, el responsable de ESET insiste en que “no se conocen motivaciones ni responsables del ataque, aunque se podría pensar, debido al tipo de datos robados, que el móvil principal es el económico”.

Pese a ello, Puebla subraya que “no se ha evidenciado la existencia de algún fraude efectivo efectuado gracias a los datos recogidos por los ciberdelincuentes, por lo que tampoco se puede constatar que la motivación sea financiera”.

¿Cómo podría dañar a Air Europa?

Es pronto para saber cómo podría haber afectado a Air Europa este ataque, pero los expertos en ciberseguridad explican cuáles son las repercusiones que suele tener este tipo de incidentes para las compañías.

“Las empresas se pueden enfrentar a la bancarrota, pérdida reputacional o elevadas multas de organismos reguladores. Sin embargo, lo que más afecta a la sobrevivencia de una empresa en este sentido es la pérdida de confianza de su clientela, originando una pérdida de marketshare que tarda años en recuperarse”, advierte el representante de Kyndryl.

Del mismo modo, Reboleiro señala que “un ciberataque exitoso que comprometa información de clientes con elevada frecuencia lleva aparejado una disminución de la reputación de la organización, dado que depositan su confianza en ella para proteger sus datos más sensibles”.  En cualquier caso, considera que “Air Europa está actuando con diligencia, por lo que cabe la posibilidad de que este impacto sea mínimo.

El experto de ESET también destaca el daño reputacional que causan estos incidentes, pero también recuerda que existe “la posibilidad de una multa económica como la impuesta a British Airways hace unos años si se demuestra que no se adoptaron las medidas necesarias para proteger los datos sensibles de los clientes de la aerolínea”.

Como apuntábamos anteriormente, cabe recordar que a la compañía británica se le impuso una multa de 183 millones de libras esterlinas, aunque finalmente se quedó en 20 millones, tras las alegaciones de la aerolínea y atendiendo al impacto económico de la COVID-19 en sus negocios a la hora de establecer la sanción final.

¿Qué deben hacer los afectados?

Los clientes que se han visto afectados por el robo de datos deberían seguir las instrucciones que aportaba Air Europa en su comunicación. Es decir, cancelar las tarjetas de crédito que se hayan podido ver implicadas en este incidente.

Además, Albors recalca que “es muy recomendable revisar los movimientos realizados con esas tarjetas antes de su cancelación”. Y en caso de detectar alguna operación fraudulenta, Corrons subraya que hay que “contactar con la entidad emisora de la tarjeta y con las autoridades para poner la correspondiente denuncia”.

Por otra parte, el experto de ESET indica que han de “estar atentos a posibles correos donde los delincuentes se hagan pasar por la compañía aérea o su banco y les soliciten información personal”

Igualmente, Puebla apunta que “deben mantenerse alerta ante comunicaciones que les lleguen por cualquier vía (mensaje de texto, correo, voz, redes sociales, etc.), dado que posibles actores de amenazas podrían contactarles con la finalidad de realizar algún fraude que les afectase, como, por ejemplo, obtener más información sobre ellos y suplantar su identidad”.

Al hilo de ello, pone el acento en que “en ningún caso, las entidades bancarias o las empresas solicitarán ningún tipo de dato personal ni bancario a los afectados a través de medios no oficiales”.

¿Respuesta adecuada de la aerolínea?

La rapidez en la respuesta por parte de Air Europa, dando a conocer el ataque y avisando a sus clientes, es valorada positivamente por los especialistas. “El hecho de comunicarse directamente con los usuarios afectados para que cancelen sus tarjetas de crédito comprometidas es adecuado”, declara el security evangelist de Avast.

Reboleiro coincide con él. “La respuesta dada por Air Europa tras haber detectado el incidente de seguridad ha sido adecuada, e incluso ejemplar, dado que ha cumplido la directriz de notificar la brecha a los implicados antes de que transcurriesen 72 horas desde su detección, proporcionando recomendaciones efectivas para evitar cualquier impacto sobre ellos. Además, está realizando auditorías para determinar el origen del ciberataque y solventar cualquier posible deficiencia en sus sistemas”, precisa.

Igualmente, el experto de ESET opina que “la compañía ha sido muy transparente a la hora de comunicar el incidente a sus clientes, indicándoles las medidas a tomar para evitar cargos fraudulentos en sus tarjetas de crédito”.

Además, remarca que “algunas fuentes indican que se ha informado en tiempo y forma a la Agencia Española de Protección de Datos y al INCIBE, entre otros”.

¿Cómo prepararse?

Tener la seguridad garantizada al 100% es prácticamente imposible, pero conviene tener en cuenta una serie de recomendaciones para ponérselo más difícil a los ciberdelincuentes y estar mejor preparados ante posibles ataques.

“La página web de toda empresa debe seguir unos protocolos de seguridad estrictos. Mantener los parches de seguridad actualizados y revisar el código por posibles vulnerabilidades es el primer paso para no ser víctima de un ciberataque. Además, contar con un software de seguridad y confianza podrá detectar y bloquear malware e identificar posibles ataques antes de que tengan oportunidad de efectuarse. Asimismo, es clave realizar auditorías de seguridad regularmente”, detalla Corrons.

Puebla anota que “contar con un correcto bastionado de los sistemas y aplicar diariamente las soluciones de seguridad desarrolladas para las vulnerabilidades que se identifiquen es imprescindible para minimizar la posibilidad de convertirse en víctima por un ciberataque exitoso”.

Además, reseña que “se aconseja a las instituciones mantenerse informadas y actualizadas sobre los últimos incidentes de ciberseguridad, así como concienciar a los empleados de la organización sobre las ciberamenazas que implican componentes de ingeniería social, dado que suelen constituir vectores de acceso inicial habituales por parte de los agentes de amenazas”.

Albors remarca que “es importante que las organizaciones adopten medidas que les ayuden a identificar sus datos y sistemas más valiosos, realicen auditorías que les permitan conocer cuáles son los puntos débiles que pueden convertirse en posibles puertas de entrada para los atacantes y, a partir de esa información, adoptar las medidas de seguridad necesarias”.

Entre tales medidas, recomienda “reforzar las políticas de permisos y credenciales de usuarios, implementando medidas como el doble factor de autenticación y el uso de VPN para trabajadores remotos; limitar permisos a datos sensibles a únicamente aquellos empleados que los requieran; y segmentar la red de la empresa para que el compromiso de un dispositivo en un área no termine afectando al resto”.

También indica que “se deben implementar revisiones de código periódicas y establecer mecanismos que detecten modificaciones maliciosas del código web si tenemos una plataforma de compra online, así como disponer de soluciones de seguridad que permitan detectar posibles amenazas y comportamientos extraños de aplicaciones en todos los sistemas de nuestra red”.

Por su parte, Alva señala que “es importante que las organizaciones tengan una adecuada seguridad operativa”, lo que se traduce en contar con sistemas Endpoint Detection and Response (EDR), Intrusion Detection System (IDS), gestión de vulnerabilidades, plan de gestión de la crisis, Security Operations Center (SOC), etc.

Además, aconseja “incorporar también seguridad ofensiva, incluyendo ejercicios de red team y pentest”, así como “tener clara una estrategia de ciberresilience con mecanismos de protección del dato y estrategias de recuperación frente a ciberataques bien definidas”.