Iberia denuncia ante las autoridades el robo de datos personales de sus clientes a través de un ciberataque

Iberia ha informado de un ciberataque que ha comprometido determinados datos personales de sus clientes. La aerolínea ha denunciado lo ocurrido ante la Unidad Central Operativa de la Guardia Civil (UCO), la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE). El acceso no autorizado se ha producido en un sistema alojado y administrado por un proveedor externo, lo que ha permitido la extracción de información no relacionada con las funciones operativas de la aerolínea.

La compañía asegura que la seguridad de los vuelos no se ha visto afectada en ningún momento, dado que el sistema afectado solo se usa para almacenar y compartir información y no está conectado a los sistemas que Iberia utiliza para operar sus vuelos.

Tipo de datos comprometidos

Según las investigaciones preliminares comunicadas por la aerolínea, los datos obtenidos por los atacantes incluyen nombre, apellidos y direcciones de correo electrónico. En menor medida, también se ha visto afectada información como números de teléfono y el número de identificación o afiliación a la tarjeta de fidelización Iberia Club.

La compañía ha aclarado que no se han obtenido “ningún dato completo ni usable de medios de pago ni tampoco claves de acceso a las cuentas de Iberia”, según ha informado EFE. Esto significa que los datos sensibles relacionados con tarjetas bancarias u otros métodos de pago no han quedado expuestos en el incidente, reduciendo así el riesgo potencial de uso fraudulento en transacciones económicas.

La aerolínea también ha confirmado que se han extraído algunos códigos de reserva de vuelos futuros. No obstante, indica que “de momento, no hay constancia de que se haya realizado alguna actividad fraudulenta con estos datos”, según el comunicado al que ha tenido acceso la agencia de noticias.

Medidas adoptadas tras el incidente

Iberia ha iniciado el proceso de comunicación individual a todos los clientes afectados. Al mismo tiempo, la compañía ha activado medidas de seguridad adicionales para evitar usos indebidos de la información obtenida. Entre esas acciones destaca la implantación de un doble factor de autenticación para todos los usuarios afectados, de modo que solo ellos puedan acceder, modificar o gestionar sus reservas a través de la aplicación, la web o el centro de atención telefónica.

La aerolínea insiste en que el repositorio atacado es un sistema de comunicación gestionado por un tercero y que los datos almacenados en él son limitados, por lo que los sistemas críticos vinculados a la seguridad de los vuelos no han estado en riesgo en ningún momento.

Para facilitar la detección temprana de posibles irregularidades, Iberia ha habilitado un número de atención específico: 900 111 500, disponible para que los clientes comuniquen cualquier sospecha, anomalía o incidencia relacionada con el incidente.

Recomendaciones y seguimiento del caso

Como prevención adicional, Iberia ha pedido a los clientes afectados que extremen la precaución ante posibles comunicaciones que se hagan pasar por la compañía y soliciten información personal o acciones inusuales.

El caso será investigado por parte de la UCO, la Agencia de Protección de Datos y el INCIBE, organismos a los que la aerolínea notificó el incidente inmediatamente después de detectarlo.

Según el comunicado oficial, Iberia lamenta las molestias ocasionadas a los usuarios afectados y asegura estar “poniendo todos los medios a su alcance para mitigar los efectos de incidente y evitar que pueda repetirse en el futuro”.