Las mismas fuentes han informado de que pese a las especulaciones sobre la nacionalidad de los autores del ataque, no hay por el momento ninguna confirmación al respecto. Únicamente que se trata de una organización de profesionales de máxima cualificación que consiguieron burlar la vigilancia de la seguridad informática de la aerolínea, la cual corre a cargo de tres empresas diferentes.
Los ciberdelincuentes lograron generar una suerte de pasillo digital por el que llegar al portal de compras y parasitarla durante un periodo de unos nueve días, según los cálculos de la empresa, concretamente a finales de septiembre. Durante ese tiempo se redirigieron las visitas de los usuarios a una página clon de la original. De esa manera, los hackers tenían acceso a los procesos de compra de billetes de los vuelos, lo que incluía la introducción de sus datos bancarios.
Precisamente por ello, la compañía aérea informó a sus clientes de que se habían visto comprometidos los datos necesarios para efectuar una operación bancaria: el número de la tarjeta, la fecha de caducidad de la misma y el CVV (código valor de validación o verificación).
Juanjo Fuster, experto de ciberseguridad de la empresa afincada en Palma Intec, explica que en principio no es posible que los usuarios se introdujeran y operaran simultáneamente en los dos portales -el clon y el original-, aunque sí que el portal fraudulento captara los datos de los clientes y los redirigiera posteriormente a la auténtica web de Air Europa para que se hiciera efectiva la compra y así no se despertaran sospechas.
En cualquier caso, la empresa hace hincapié en el hecho de que los ciberdelincuentes en ningún caso entraron en su base de datos. También asegura que no se ha detectado ninguna operación fraudulenta con los datos robados. Precisamente, la captación de los tres dígitos del CVV era una de las cuestiones que más escamaban a los expertos en la materia, algo que queda explicado con la metodología seguida por los piratas informáticos.
En ese sentido, Llorenç Huguet, director de la Unidad de Innovación Tecnológica en Ciberseguridad en la Universitat de les Illes Balears (UIB) y antiguo rector, señala que la compañía había «obrado de manera correcta» al informar de inmediato a los usuarios y a las autoridades pertinentes, aunque objetaba que «la empresa no debería haberse podido quedar con los CVV», algo, señala, que podría haberle causado problemas con la Agencia Española de Protección de Datos (AEPD).
Con la técnica del pasillo y clonado del portal de compra, los ciberdelincuentes podían cazar los CVV y el resto de datos directamente de los clientes a través de la propia operación de pago de los billetes.
6 comentarios
Para comentar es necesario estar registrado en Ultima Hora
Air Europa la caga, y los que tienen que correr con las consecuencias son los ciudadanos. ¿No van a compensarles por las molestias? ¿No les va a caer ninguna sanción por dejar expuestas a 110.000 personas? ¿Nadie va a dimitir por esta chapuza? ¿Nadie va a salir a pedir disculpas?
Mariano J. MayansA ver .... Que tiene que ver Jamás en esta noticia de Air Europa?
Bueno, hace más o menos 40 años, no existía Internet. Hoy en día, parece que no podemos vivir sin él pero,, lo malo no es eso, sino que, muchos, muchísima gente cree ciegamente en todo lo que se dice o aparece en los medios de comunicación, lo que groseramente llamamos ·REDES SOCIALES. Hoy ha estado difundiéndose una cosa que me parece extremadamente grave, se ha dicho que los terroristas de Hamas habían DEGOLLADO a 40 (CUARENTA) bebés. Mucha gente ha creído eso pero, para su desconsuelo, por tres canales distintos de noticias (BBC y CNN) ha aparecido un militar judío que hablando en inglés ha dicho que eso es pura MENTIRA, para que algunos "lo entiendan", una Fake-news. Conviene tener presente que en cualquier conflicto bélico suele utilizarse la PROPAGANDA, mayormente nutrid de MENTIRAS. He visto hasta 72 imágenes y, nunca en mi vida he visto bebés que tengan los pies o las manos como los míos. No seamos ingenuos, pensemos que siempre hay intereses ocultos que se basan en uso y difusión de MENTIRAS.
Animo al equipo informatico! Hoy día somos el departamento más infravalorado de la cadena.
No volveré a viajar con esa compañía nuca más,que espabilen!
Vaja, ara a ficar ses culpes al rusos. HAHAHA No em crec RES .