El ITRC (Identity Theft Resource Center) es una organización sin ánimo de lucro cuya misión es orientar a los consumidores, víctimas, compañías y entidades gubernamentales para minimizar los riesgos y mitigar el impacto de los robos de identidad y por eso, realiza estudios y publica abundante documentación y números sobre las brechas de datos. Uno de las más impactantes es que desde 2005 hasta marzo de este año, ha registrado un total de 11.556 brechas de seguridad 

 Esta cifra pone de manifiesto que las brechas constituyen uno de los incidentes graves más comunes que sufren las compañías. Por este motivo, también son una cuestión que Cytomic trata con cierta frecuencia, con casos como los 1.200 millones de cuentas expuestas que descubrió Vinnie Troya, la que padeció el emisor de tarjetas de crédito Capital One la naviera Maersk o la que le sucedió a Decathlon. Todos ellos reflejan que ningún sector está exento de los riesgos que implica una brecha de datos y las compañías aéreas no son una excepción, como ha vuelto a quedar demostrado con la reciente brecha de EasyJet 

 Información de viaje para el espionaje chino_

El pasado mes de mayo, EasyJet, una de las principales aerolíneas de bajo coste de Europa, anunc a la ICO, la entidad reguladora de datos en el Reino Unido, que un “ciberataque altamemente sofisticado” había afectado a la compañía recopilando datos de viaje y correos electrónicos de 9 millones de sus clientes y lo que es más grave: 2208 de ellos tuvieron sus datos de tarjeta de crédito (número y CVV) también comprometidos. 

Aunque no se han desvelado detalles de cómo se realizó este ciberataque tan avanzado, fuentes de la investigación que decidieron permanecer anónimas apuntan a que fue realizado por ciberatacantes chinos que en el pasado también se habrían dirigido a otras aerolíneas. En este sentido, apuntaron al hecho de que el objetivo era conseguir los registros de viaje de pasajeros para seguir su movimiento y no tanto obtener ganancias financieras.  

Esta hipótesis también coincide con el hecho de que no se ha hecho uso de ninguno de los datos de las tarjetas de crédito afectadas hasta el momento, según la compañía. Sin embargo, EasyJet contactó con todos los usuarios afectados y emitió una serie de recomendaciones asumiendo que es posible que reciban correos electrónicos de phishing 

Turbulencias para el sector_   

Además del daño reputacional que suponen siempre estos incidentes -ya que merma la confianza de los actuales y futuros clientes en que la organización cuida bien de sus datos- la compañía se enfrenta a una perspectiva de sanciones millonarias: considerando la legislación del GDPR, el ICO poda imponerles una multa de hasta el 4% de su facturación total, lo que en el caso de EasyJet supondría 255 millones. Aunque la media del coste total de una brecha de datos es de 3,2 millones, existe el antecedente de la multa sugerida de 183 millones de libras que el ICO querría imponer a la aerolínea British Airways, lo que  que supone el 1,5% de la facturación anual. Si bien, en el caso de BA sí se supo que el incidente tuvo motivación claramente financiera: se inyectó un código malicioso en su web para recopilar los datos de tarjetas de crédito. 

Pero pese a tener diferentes motivaciones, ambas brechas de datos prueban que el sector aéreo es un objetivo cada vez más frecuente para los ciberatacantesAlgunos expertos en ciberseguridad lo atribuyen a que las aerolíneas son una mina de oro de datos: las compañías contienen información de tarjetas de crédito y registros de viaje de millones de pasajeros. Además, estos registros incluyen un tipo de información en particular que prácticamente nadie a excepción de las autoridades gubernamentales –más protegidas- tiene:  pasaportes, con lo que se puede convertir en algo muy valioso para vender a través de la Dark Web y que se ha utilizado con fines de robo de identidad por los compradores.  

Aterrizaje seguro_ 

Más allá de las recomendaciones generales para evitar brechas de datos, tales como la clasificación y jerarquización de los datos, un fuerte control de acceso y roles y una adecuada política de contraseñaslos expertos coinciden en que las compañías aéreas necesitan una consultoría de ciberseguridad avanzada que incluya la revisión exhaustiva de todos los sistemas, páginas web, prácticas como el pentesting e incluso la evaluación de ciberseguridad de terceros que trabajen con sus datos, como las agencias de viajes.  

Es por eso que los CISO de las aerolíneas conviene que cuenten con un partner que sea capaz de cubrir esas necesidades específicas y que además, proporcione soluciones como Cytomic Data Watchdiseñado para ayudar a las organizaciones a cumplir con las normativas de protección de datos, pero también, para descubrir y proteger sus datos sensibles en tiempo real tanto en endpoints como en servidores. De esta manera, las aerolíneas podrán sobrellevar las turbulencias de los ciberataques de la mejor manera posible para que sus datos y los de sus clientes aterricen donde deben de manera segura.