Air Europa sufre un ‘hackeo’ que expone los datos bancarios de sus clientes

Air Europa ha sufrido un ataque que ha expuesto los datos bancarios de sus clientes, a quienes ha pedido la cancelación de sus tarjetas. En concreto, los datos sustraídos fueron el número de varias tarjetas, sus fechas de caducidad y el CVV.

«Nuestro equipo de sistemas confirmó la existencia de un problema de ciberseguridad que habría afectado al entorno de pagos con el que se gestionan las compras a través de la web. Dicha alteración fraudulenta habría permitido la extracción de datos de las tarjetas de crédito. No hay constancia de que la filtración haya terminado utilizándose para cometer ningún fraude», informaron fuentes de la aerolínea, que tiene su sede en Mallorca.

No es la primera vez que los hackers encuentran una brecha en la seguridad de la empresa. Ésta sufrió otro ciberataque con 500.000 afectados en 2018 y fue multada por no informar a sus clientes. La Agencia de Protección de Datos impuso una sanción de 100.000 euros a Air Europa por no haber blindado la información privada de sus clientes relacionada con las tarjetas bancarias. Sin embargo, el gran montante de la sanción -500.000 euros- se impuso porque la aerolínea no había comunicado la brecha de seguridad en las 72 horas después de tener constancia de que los datos de sus clientes habían sido expuestos

En esta ocasión, la compañía de la familia Hidalgo aseguró que la «detección y rápida intervención» de su equipo para la aplicación del protocolo establecido por la aerolínea ha permitido bloquear la brecha de seguridad y prevenir la filtración de nuevos datos.

La aerolínea aseguró que «hasta la fecha» «no tiene constancia» de que dichos datos «se hayan utilizado para cometer fraude alguno» y agrega que en la actualidad sus sistemas funcionan con «total normalidad» y la seguridad de la operativa está garantizada. Es decir, se pueden comprar billetes en su página web sin ningún riesgo.

A través de email

Air Europa sí recomendó a sus clientes que se pongan en contacto con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa. La aerolínea envío un aviso en la noche de este martes a sus usuarios en el que les advertía del «riesgo de suplantación de tarjetas y fraude» que el incidente citado podría suponer.

«En aras a proteger sus intereses, le recomendamos que siga los siguientes pasos», indicó la aerolínea en el citado email, al que ha tenido acceso este medio. A partir de aquí, enumeró una serie de medidas preventivas que deberían seguir sus clientes con el objetivo de evitar un problema de uso fraudulento en sus cuentas bancarias. Así, pidió identificar la tarjeta usada para efectuar pago en la página web de la compañía y contactar con la entidad bancaria para solicitar la «anulación, cancelación o sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información».

Además, añadió, «no facilitar información personal, su pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria» ni tampoco pinchar «enlaces que le avisen de operaciones fraudulentas». «Póngase en contacto directo con su entidad bancaria por medios constatables», agregó, además de «recopilar cualquier prueba de posible uso no autorizado de su tarjeta y denúncielo ante la Policía».

Fuentes financieras apuntan que este tipo de filtraciones de datos tienen precedentes, aunque en este caso pueda haber trascendido más por la notoriedad de Air Europa, informa Pablo Allendesalazar. Según explicaron, las entidades cuentan con protocolos para este tipo de situaciones, que ahora han activado, y están analizando qué medidas concretas impulsar. Los bancos, añadieron, no pueden dar de baja una tarjeta sin que se lo pida el cliente, pero sí pueden adoptar iniciativas como avisarle mediante un mensaje en el móvil, el correo electrónico o una llamada de su gestor remoto, así como bloquear pagos, por ejemplo si se realizan desde el extranjero.

En otra entidad apuntaron que se está a la espera de que la empresa de servicios de medios de pago Redsys envíe a las entidades la relación de tarjetas comprometidas. Cuando se reciba la información, añadieron las fuentes, se bloqueará cualquier pago con tarjeta no presencial y se avisará mediante un mensaje en el móvil al cliente de que se ha bloqueado dicho pago y de que puede pedir el bloqueo de su tarjeta y su sustitución por otra.

Alfonso Rodríguez, presidente de Consubal, la Asociación de Consumidores y Usuarios de Balears, recomendó a todos los afectados de las isla por el ciberataque a Air Europa que repercutan los gastos asociados a la propia aerolínea. «Descubiertos y gastos bancarios deben reclamarse a la compañía aérea, todos los gastos relacionados deben repercutirse a la propia Air Europa, desde los pagos extra de renovación de la tarjeta anulada -en algunos casos de hasta seis euros- a los posibles descubiertos que se puedan producir», advirtió.

«Aconsejamos que se anulen inmediatamente las tarjetas bancarias asociadas a la compañía para evitar males mayores -subrayó-, aunque si tenemos el sistema de seguridad de doble verificación asociado a las compras con tarjeta bancaria podemos estar protegidos», comentó. «Pero hay muchos consumidores que todavía no cuentan con este sistema y precisamente los datos sustraídos en el ciberataque son los necesarios para realizar cargos en la tarjeta: el número de tarjeta bancaria o de crédito, la fecha de caducidad y el dígito de control de tres dígitos», detalló.