La compañía de vuelos Air Europa ha advertido en un correo electrónico a algunos de sus clientes de una posible filtración de los datos de sus tarjetas bancarias, tras sufrir un ciberataque. La aerolínea recomienda a los afectados que cancelen la tarjeta bancaria si han hecho compras con ellos para evitar cargos no autorizados y posibles intentos de fraude.
A través de nuestro chatbot de WhatsApp (+34 644 229 319), nos habéis consultado por este tema. En este artículo, resolvemos algunas dudas sobre qué ha pasado, qué debemos hacer si hemos recibido el aviso y a qué riesgos nos podríamos enfrentar.
¿Qué ha pasado y qué datos personales se han visto comprometidos?
Como explica el Instituto Nacional de Ciberseguridad (INCIBE), Air Europa ha sufrido un ciberataque que ha permitido a los ciberdelincuentes obtener información de las tarjetas bancarias de sus clientes. En concreto, los datos filtrados han sido: el número de tarjeta, la fecha de caducidad de la misma y el código CVV (los tres números situados en el reverso de la tarjeta de crédito o débito).
Según el organismo, la empresa ha informado a través de correo electrónico a “todos aquellos usuarios que han sido afectados tras el ataque sufrido”. En ese email, la aerolínea aclara que los datos sustraídos son únicamente los relacionados con las tarjetas bancarias y que no se ha visto afectado ningún otro dato personal.
“La aerolínea ha comunicado que el problema se debe al entorno de pagos donde gestionaban las compras a través de la web”, afirma el INCIBE. Y añade: “Air Europa ha comunicado que la incidencia ha sido controlada y que sus sistemas vuelven a funcionar con total normalidad, a pesar de ello, la entidad sigue investigando el suceso”.
Según recoge el INCIBE, la compañía no tiene evidencias de que la filtración de datos se haya empleado “para cometer algún tipo de fraude”. Pero recomienda a los clientes afectados que cancelen su tarjeta bancaria. Desde Maldita.es también hemos contactado con el servicio de prensa de la aerolínea y actualizaremos este artículo en caso de recibir respuesta.
Con los datos que se han filtrado, ¿los ciberdelincuentes pueden hacer cargos a mi cuenta bancaria?
Como decimos, según Air Europa los únicos datos de la tarjeta bancaria que se han filtrado son el número, la fecha de caducidad y el CVV. Teniendo esos tres datos, ¿los timadores podrían realizar pagos por nosotros? “Sí, aunque en algunos bancos, sobre todo los europeos que están bajo la PSD2 —regulación europea sobre servicios de pagos electrónicos—, deberían exigir la llamada ‘autenticación reforzada’”, explica Iván Forcada Atienza, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. Esta autenticación en dos pasos, según el experto, podría mitigar el riesgo “parcialmente”.
En este sentido, desde la Asociación para la Defensa de Consumidores y Usuarios de Bancos, Cajas y Seguros (ADICAE) apuntan a Maldita.es que “es poco probable” que los ciberdelincuentes puedan realizarnos cargos, dado que “tendrían que conocer el nombre completo del titular de la tarjeta” y, además, “desde 2021 está vigente la autenticación en dos pasos”. Si esta autenticación no se diese, “entonces el responsable de la transacción indebida sería el banco”, aseguran.
¿A qué otros riesgos nos enfrentamos?
Con los datos personales que se han filtrado, los ciberdelincuentes podrían realizar ataques de ingeniería social contra los usuarios afectados, como intentos de phishing (suplantación de una empresa a través de correo electrónico) o vhishing (suplantación a través de una llamada).
Por ejemplo, los timadores podrían llamar a la víctima haciéndose pasar por su entidad bancaria y utilizar los datos de su tarjeta para hacerle creer que realmente le están llamando desde el banco. En Maldita.es hemos explicado que la filtración de datos es uno de los motivos por los cuales los timadores consiguen datos personales de las víctimas incluso antes de realizar una llamada de vishing. En esa llamada, como apunta Forcada, el objetivo del timador podría ser que el usuario facilite ese código de autenticación reforzada que le llega a su móvil, para así poder realizar cargos en su cuenta.
“Siempre que hay un robo de datos personales los delincuentes pueden aprovecharlos para realizar ataques por ingeniería social. Cuantos más datos que consideramos ‘privados’ nos dan en una comunicación, más susceptibles somos de creer que esa persona es quien dice ser”, explica Paula González, jefa de ciberseguridad en GMV y maldita.
¿Qué debo hacer si he recibido el correo de aviso?
Si eres uno de los clientes afectados, el INCIBE recomienda seguir los siguientes pasos:
- Comprueba en la web de Air Europa cuál es la tarjeta que usaste para realizar pagos.
- Contacta con tu banco y solicita la cancelación de la tarjeta si fuera necesario y toma las medidas preventivas que te recomienden.
“Ante la sospecha de robo de datos de tarjeta, la única solución es cancelarla y estar pendiente de posibles cargos ‘extraños’ durante un par de meses”, asegura González.
En esta misma línea, desde ADICAE aconsejan estar al tanto de cualquier movimiento dentro de la cuenta corriente. Y, además, señalan que podemos reclamar los gastos de la cancelación de la tarjeta a la propia aerolínea.
Asimismo, los usuarios afectados deben estar alerta ante los mensajes sospechosos, para evitar ser víctimas de un ataque de ingeniería social. “Hay que ignorar los SMS que te indican que entres en tu banca online para aprobar un movimiento. También desconfiar de supuestas llamadas del banco que tratan de ganarse tu confianza aportando tus datos confidenciales, con el CVV”, explica Forcada.
Para asegurarte de si el mensaje que te ha llegado es real o no, contacta directamente con el banco, utilizando sus canales oficiales. Ante la duda, desde ADICAE recomiendan no facilitar ningún código o información personal relacionada con la tarjeta o su titular.
¿Qué hago si detecto un movimiento sospechoso en mi cuenta?
Si se hace un uso no autorizado de tu tarjeta, el INCIBE recomienda contactar inmediatamente con el banco y recopilar las evidencias del fraude para denunciar ante la Policía Nacional o la Guardia Civil.
¿Me devolverán el dinero del movimiento fraudulento?
Si los ciberdelincuentes han realizado algún movimiento, debemos reclamar al banco la restitución del dinero puesto que se trata de un “movimiento no autorizado”, según aseguran desde ADICAE. Para ello, debemos aportar la denuncia presentada previamente.
El artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera establece que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato”.
Lo mismo ha indicado Pedro Serrahima, director de Experiencia, Políticas de clientes y Multimarca de Telefónica, en un tuit publicado en su perfil: “Si alguien hackea a una empresa tus datos de la tarjeta de crédito y con ellos el ladrón hace una compra en internet, NO TE ESTÁN ROBANDO A TI, están robando al comercio o a tu banco que te debe devolver todo en cuanto se lo pidas (sic)”.
Juan Carlos Cortinas, experto en ciberseguridad y también maldito, señala que si el cliente tiene activada la verificación en dos pasos y no ha funcionado, será el banco el responsable y este "ya reclamará si debe a Air Europa". Además, la aerolínea "tendrá que hacer frente a las sanciones de la Agencia Española de Protección de Datos (AEPD) por la sustracción de datos sensibles". *
En este artículo han colaborado con sus superpoderes Iván Forcada Atienza, experto en ciberseguridad; Paula González, jefa de ciberseguridad en GMV, y Juan Carlos Cortinas Abad, experto en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
* Este artículo se ha actualizado el 13/10/2023 para incluir las declaraciones del experto y maldito Juan Carlos Cortinas Abad.