Siguen los problemas para Air Europa: La compañía sufre un "coladero" en su web en materia de seguridad

Air Europa dice ser "víctima del fuego cruzado de la política" ya que no se ha clarificado el papel de su exasesor Víctor de Aldama en el 'caso Koldo'. Además, circunscriben los préstamos por valor de 610 millones de euros que recibieron en pandemia del Gobierno a las medidas que se tomaron en favor de cualquier compañía relacionada con el turismo. 

Y en cuanto al acuerdo entre Wakalua, empresa de Globalia, y el proyecto África Center del Instituto de Empresa, que fue dirigido por Begoña Gómez, señalan que "no llegó nunca a ejecutarse" y que la cercanía con la mujer de Pedro Sánchez "en absoluto guarda relación con las actividades empresariales de Air Europa".

Lo cierto es que esta catarata de escándalos, al menos, tapa el mayúsculo problema que sufre Air Europa en materia de seguridad. Y es que, tal y como admiten fuentes de la compañía, la aerolínea se ha convertido "en un coladero" para ciberdelincuentes. 

Y es que hasta por tres veces en seis años Air Europa ha mostrado un agujero en la red que ha dejado a la luz los datos de miles de clientes. Cuando parecía que la familia Hidalgo había tomado cartas en el asunto, el pasado jueves muchos usuarios de la empresa española recibieron un correo en el que les informaban de que, otra vez, les habían robado los datos. 

"La información recabada indica que, como consecuencia, se habría podido producir una filtración de datos personales de clientes y/o pasajeros entre los que podrían encontrarse los suyos", dice el correo al que ha tenido acceso Elcierredigital.com. 

Los datos que podrían estar en manos de hackers son nombre y apellidos; DNI o pasaporte; código de viajero frecuente del programa Suma; dirección postal; fecha de nacimiento; teléfono; correo electrónico y nacionalidad.

Este pasado otoño, tras otro hackeo que facilita que ciberdelincuentes realicen 'phishing' (suplantación de identidad para obtener dinero), desde la empresa de los Hidalgo contaron a la prensa que "en ningún caso los ciberdelincuentes han accedido a otras bases de datos de Air Europa ni han extraído otro tipo de información personal de los clientes". Habrá que esperar si en este último hackeo la empresa dice lo mismo. 

El ciberataque de octubre y la multa de 2021

En octubre la compañía sufrió un ciberataque que desnudó la brecha de seguridad que sufre su área de pagos. Este ataque robó los datos de las tarjetas de crédito de los clientes de la aerolínea, que ayer se lanzaron a anularlas por temor a que sus cuentas bancarias fuesen desfalcadas. 

El hackeo evidenció los problemas de seguridad admitidos por la propia Air Europa, consciente del robo del número de varias tarjetas, sus fechas de caducidad y el código de seguridad CVV de sus clientes. 

Javier y Juan José Hidalgo. 

La compañía se apresuró a informarlos para evitar una multa como la de 2021, cuando Globalia (dueña de Air Europa) tuvo que pagar 600.000 euros a la Agencia Española de Protección de Datos. 

¿El motivo? En 2018 tardó en informar a sus clientes 41 días del ataque que sufrió por parte de ciberdelincuentes que se hicieron con los datos de casi medio millón de clientes, cuando su obligación era informarles en un plazo máximo de 72 horas. 

Air Europa remitió un correo a sus clientes donde se leía que "ante el riesgo de suplantación de tarjetas y fraude que este incidente podría suponer, y en aras a proteger sus intereses, le recomendamos que siga los siguientes pasos: identifique la tarjeta usada para efectuar pago/s en la página web de Air Europa; contacte con su entidad bancaria; solicite la anulación/cancelación/sustitución de esa tarjeta para poder evitar el posible uso fraudulento de su información; no facilite información personal, su pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria; no pinche enlaces que le avisen de operaciones fraudulentas". 

"Póngase en contacto directo con su entidad bancaria por medios constatables, y recopile cualquier prueba de posible uso no autorizado de su tarjeta y denúncielo ante las Fuerzas y Cuerpos de Seguridad del Estado", añadieron. 

El experto en ciberseguridad Daute Delgado explicó en el medio especializado 20 Bits que "es complicado determinar de dónde sale este tipo de ciberataque, aunque podría estar relacionado con el acceso indebido a la API, el redireccionamiento de la pasarela de pago a un atacante o la manipulación de los trámites de una tarjeta".

Por su parte, la asociación de consumidores OCU recordó que "los hackers pueden aprovechar el nombre y la dirección ya en su poder para hacerse pasar por una compañía de su confianza o incluso una institución pública".