El "gravísimo" ciberataque a Air Europa que ha dejado al aire tu tarjeta: ¿cómo ha ocurrido?

"Ante el riesgo de fraude, le recomendamos contactar con su entidad bancaria y anular su tarjeta". No es muy común que una empresa escriba a sus clientes para hacerles esta petición, pero eso es exactamente lo que Air Europa se vio forzada a hacer ayer martes tras anunciar que había sufrido un ciberataque en el que se habían comprometido los datos de tarjetas de crédito de miles de clientes. La aerolínea aún no ha confirmado oficialmente cuántas fueron, pero, según ha podido saber este diario por fuentes conocedoras de la investigación, la cifra rondaría los 100.000 afectados. Expertos en ciberseguridad se lanzaron a analizar el caso y la primera reacción fue de incredulidad. ¿Cómo ha podido suceder algo así? Y, sobre todo, ¿cómo ha podido suceder... por segunda vez?

Hace cinco años, la aerolínea comunicó una grave brecha de seguridad que afectó a casi 490.000 clientes, cuyos datos de tarjetas de crédito quedaron al descubierto. La Agencia Española de Protección de Datos (AEPD) le impuso una multa de 600.000 euros por "no emplear las medidas de seguridad adecuadas".

El informe de lo ocurrido, publicado en marzo de 2021 (se puede leer aquí al completo), arroja preocupantes similitudes con el segundo hackeo conocido ayer. Sobre todo por un detalle fundamental: además de los números de tarjeta y su fecha de caducidad, los atacantes lograron hacerse con el CVV, el código de tres cifras en la parte posterior de cada tarjeta. Si alguien tiene esos tres datos, número de tarjeta, fecha y CVV, estás vendido. Pueden comprar en tu nombre todo lo que quieran hasta que alguien se dé cuenta.

TE PUEDE INTERESAR

Air Europa encarga un 'forensic' a Deloitte por el 'hackeo' ruso de 100.000 tarjetas bancarias

Agustín Marco

"Hay una normativa llamada PCI-DSS que debe cumplir cualquier empresa que realice cobros online, y tiene una regla básica: los códigos CVV no se pueden almacenar en ningún sitio. No es que los tengas que cifrar, no. Es que ni siquiera los puedes guardar. Que Air Europa reconozca en su e-mail a clientes que se han filtrado los CVV es preocupante", explica a este diario Jorge Louzao, especialista en ciberseguridad. "Se me antoja complicado que haya una negligencia de ese nivel, sería algo tan garrafal a estas alturas que es casi impensable".

Air Europa aún no ha hecho público ningún detalle técnico de lo ocurrido. Consultados por este diario, portavoces de la compañía prefieren no aportar más detalles de los ya publicados. "Solo diremos que cumplíamos a rajatabla con cualquier normativa vigente de seguridad y protección de datos. Los ciberataques son muy complejos", señala un portavoz.

Fuentes conocedoras de la investigación aseguran a El Confidencial que Air Europa había subcontratado a Telefónica Tech la seguridad de sus sistemas informáticos y habría encargado tanto a esta compañía como a Deloitte un informe forense de lo ocurrido. Estas mismas fuentes sitúan en Rusia y países del este el origen del ataque, que se habría producido por primera vez la semana pasada. Es decir, los ciberdelincuentes habrían tenido acceso a los datos de las tarjetas de miles de clientes durante al menos siete días. ¿Cómo lo consiguieron?

La hipótesis de un almacenamiento negligente de los CVV en las bases de datos de la aerolínea pierde peso con un dato: desde 2020, Air Europa había conseguido la certificación PCI-DSS (payment card industry - data security standard). Eso implica que auditores independientes han tenido que certificar que no se almacena ningún CVV. "No tiene mucho sentido pensar que los guardasen. No sería la primera vez que ocurre, pero viendo la información disponible, todo apunta a lo que se conoce como web skimming. Consiste en colarte hasta la cocina en los servidores de la empresa y modificar el código fuente de la página en la que te piden meter los datos de tu tarjeta. Cuando los envías, esa página hace una llamada a la pasarela de pago, todo parece normal, pero además transmite los datos a un servidor de los atacantes. Digamos que los van recopilando en tiempo real a medida que la gente va comprando billetes", explica a este diario Ramón Medrano, especialista en ciberseguridad y privacidad.

Esta técnica es una de las más plausibles también para Louzao. "He hablado con gente que ha comprado billetes en Air Europa hace un mes y no han recibido ningún e-mail. Es decir, implicaría que no han guardado datos, que el ataque fue posterior y se puede acotar. Basta con detectar cuándo inyectaron código en la web de la empresa para saber cuántas personas compraron en esas fechas. Son a esos a los que han contactado", explica.

Luis Corrons, especialista en ciberseguridad de la multinacional Avast, cree también que "tiene toda la pinta de tratarse de un ataque tipo formjacking, también conocido como magecart o como web skimming. Los atacantes insertan código malicioso en el sitio web, que luego captura y transmite los datos de la tarjeta de crédito a un servidor externo". En 2018, la aerolínea británica British Airways sufrió un ataque de este tipo, que dejó al descubierto las tarjetas de 400.000 clientes. La investigación posterior demostró que la compañía violaba la normativa, almacenando los datos de las tarjetas en texto plano, sin ningún tipo de seguridad. El regulador británico le multó con 20 millones de libras.

Desde entonces, las grandes compañías han mejorado sus medidas de seguridad en el tratamiento de datos financieros, siguiendo la normativa PCI-DSS. Sin embargo, aunque Air Europa no almacenara los CVV, la realidad es que alguien se ha colado hasta la cocina de sus sistemas para inyectar código en su web. "Es un fallo gravísimo. Tendrán que explicarlo muy bien", señala Román Ramírez, especialista en ciberseguridad, quien añade también que las técnicas de inyectar código o atacar la conexión con la pasarela de pago parecen las más plausibles.

"Lo raro aquí es que han soltado la bomba de golpe. Generalmente, en gestión de crisis, vas soltando los datos poco a poco. Primero dices que ha pasado algo, luego, dos semanas después, que en realidad es más grave. Y dos semanas después, que tienes un cadáver en el armario", explica Ramírez. "Aquí no. Lo han soltado de inicio. Y eso es señal de que ha podido ocurrir algo más grave todavía". "Todo apunta a que los atacantes han estado días o incluso semanas en los sistemas de Air Europa. Si modificaron código, con la tecnología que hay hoy en día, eso se detecta casi al instante. Que haya pasado más de una semana dice mucho del tinglado que deben tener montado", explica Medrano.

Como usuario, ¿es posible protegerte de este tipo de ataques que sufren las empresas? "Hay una forma que a mí me funciona y creo que todo el mundo debería usar: las tarjetas de débito y crédito con CVV dinámicos. No tienen ningún número asociado y, cada vez que compras, te asignan un CVV único que solo vale para esa operación y caduca a los pocos minutos. Lo tienen ya la mayoría de bancos en España y, si te roban los datos, no van a poder hacer nada. Es un gran invento".