Iberia denunció este domingo ante la Unidad Central Operativa de la Guardia Civil (UCO), la Agencia de Protección de Datos y el Instituto Nacional de Ciberseguridad (INCIBE) haber sido víctima de un "acceso externo no autorizado en un repositorio de comunicación alojado y administrado por un tercero", que ha comprometido la confidencialidad de los datos personales de los usuarios. Este incidente de ciberseguridad se produjo pocas horas después de que la compañía anunciase la cancelación temporal de todos sus vuelos comerciales a Venezuela tras la alerta emitida por la Administración Federal de Aviación (FAA) de Estados Unidos, que recomendó extremar las precauciones.
En una declaración emitida por la aerolínea, se comunica que la información a la que se ha accedido es "limitada y no operacional", por lo que no se ha puesto en peligro la seguridad de los vuelos.
Iberia se ha puesto en contacto con los clientes afectados y con sus usuarios, a quienes ha enviado un correo electrónico que advertía de lo sucedido: "Estimado Cliente (...), en Iberia Líneas Aéreas de España hemos detectado un incidente de seguridad relacionado con un acceso no autorizado a los sistemas de un proveedor de Iberia, que ha comprometido la confidencialidad de ciertos datos. (..) hemos tenido evidencias de un acceso no autorizado a ciertos datos personales de parte de nuestros clientes, entre los cuales se podrían encontrar algunos de los suyos. La investigación en el momento actual refleja que podrían haberse filtrado datos como el nombre, apellidos o correo electrónico".
Los datos extraídos contienen nombres, apellidos y direcciones de correos electrónicos y, en algunos casos, teléfonos y números de afiliación a Iberia Club. La compañía asegura que no se ha obtenido "ningún dato completo ni usable de medios de pago ni tampoco claves de acceso a las cuentas de Iberia". Sí que se habrían extraído códigos de reserva para vuelos futuros, aunque por el momento no se tiene constancia de que se haya realizado alguna actividad fraudulenta con estos. Aún así, recomiendan a los usuarios extremar las precauciones ante posibles comunicaciones sospechosas y reportar cualquier anomalía a través de su centro de atención telefónico: +34 900 111 500.
Tras detectar el incidente, la compañía asegura haber activado "todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y evitar que se repita en el futuro". Entre ellas, la monitorización intensiva de los sistemas para identificar cualquier actividad anómala.
En un contexto de creciente digitalización y expansión del comercio electrónico, los ciberataques se han convertido en una amenaza para las grandes compañías. El pasado octubre, Mango informó de un acceso no autorizado a datos personales de sus clientes a través de un proveedor de servicios de marketing externo.
Mango comunica un acceso no autorizado a datos personales de clientes
Según los datos de INCIBE, en el último año se registraron 97.348 incidentes. Esta cifra supone un 16,6% más que el ejercicio anterior. De estos ataques, 42.136 casos estuvieron relacionados con programas maliciosos (malware).
