La plataforma española de fidelización Travel Club se enfrenta a un incidente de ransomware denunciado atribuido al grupo de ransomware Everest. La plataforma es operada por Air Miles España y se utiliza ampliamente en todo el país como programa de puntos conectado con grandes minoristas y socios de viajes. Según información publicada por los atacantes, el incidente implica el supuesto robo de 131GB de datos que contienen millones de registros de clientes. Los datos presentados en el anuncio de la filtración incluyen nombres, direcciones de correo electrónico, identificadores de cuenta, detalles demográficos e información vinculada a la actividad del programa de fidelización. Everest declaró que está solicitando el pago de la empresa y estableció una cuenta atrás para recibir una respuesta.
Los investigadores que revisaron las publicaciones de los atacantes dijeron que las pruebas incluían una captura de pantalla de un archivo CSV que incluye nombres completos y direcciones de correo electrónico. Aunque esto no confirma la magnitud total de la brecha, la muestra es coherente con el tipo de datos que suelen almacenar las plataformas de fidelización con grandes bases de clientes. Travel Club cuenta con más de seis millones de miembros en España y colabora con marcas como Repsol, Eroski e Iberia. Estas alianzas permiten a los clientes ganar puntos mediante compras en diferentes sectores. La magnitud de estas relaciones significa que una brecha podría afectar no solo a los usuarios finales, sino también a socios corporativos que dependen de servicios compartidos de marketing y análisis.
Reclamación de rescate y tácticas de grupo
El grupo del Everest es conocido por lo que los analistas describen como un enfoque de doble extorsión. En este modelo, los atacantes extraen datos antes de intentar interrumpir sistemas mediante cifrado. Luego presionan a las víctimas amenazando con publicar la información robada si no se realiza el pago. Esta táctica aumenta la probabilidad de daño reputacional porque las organizaciones afectadas se enfrentan tanto a daños operativos como al riesgo de que se divulguen datos sensibles. El grupo ha estado activo al menos desde 2021 y ha estado vinculado a incidentes previos que involucraron a empresas de telecomunicaciones, venta al por menor de ropa y servicios empresariales.
En el caso del Club de Viajes, Everest afirmó que los datos exfiltrados incluían millones de entradas de clientes. Si es cierto, esto representaría un importante tesoro de información personal que podría ser mal utilizada en campañas de phishing dirigidas o esquemas de obtención de credenciales. Las grandes plataformas de fidelización son objetivos frecuentes porque mantienen registros detallados del comportamiento del cliente, información de contacto y actividad transaccional. Esta combinación de tipos de datos puede ser rentable para los atacantes y también puede apoyar nuevos intentos de fraude contra individuos.
Air Miles España no emitió una declaración formal sobre el incidente en el momento de la notificación. La falta de confirmación deja abiertas dudas sobre el impacto operativo en la plataforma y si algún sistema interno estaba cifrado. La información disponible proviene principalmente de las afirmaciones de los atacantes y de investigadores de seguridad que revisaron el material que Everest publicó en línea.
Posibles consecuencias para clientes y socios
Los analistas de seguridad afirmaron que la brecha probablemente será objeto de escrutinio bajo las normas europeas de protección de datos si se verifica la exposición. Los datos de los programas de fidelización suelen considerarse información personal, lo que significa que las brechas pueden desencadenar requisitos de notificación y posibles acciones regulatorias. La confianza del cliente podría verse afectada si las personas se convierten en objetivo de mensajes no solicitados o intentos de phishing que hacen referencia a información personal precisa extraída del conjunto de datos.
Las empresas asociadas también pueden enfrentarse a consecuencias indirectas. Los minoristas y proveedores de viajes que participan en campañas de Clubes de Viajes suelen integrar las interacciones con los clientes con sus propios sistemas de marketing. Si se filtraran los datos de los clientes vinculados a esos programas, podría obligar a los socios a reevaluar cómo gestionan los datos promocionales y si deben notificar a sus propios usuarios sobre posibles riesgos.
Los investigadores señalaron que los clientes deben estar atentos a contactos inesperados que afirmen proceder de Travel Club o socios relacionados. Los mensajes que soliciten verificación de cuenta, restablecimiento de contraseña o información de pago deben tratarse con precaución. Las personas pueden reducir la probabilidad de fraude evitando enlaces enviados por mensajes no solicitados y confirmando la actividad de la cuenta directamente en el sitio oficial.
La situación sigue siendo cambiante, y el alcance de la brecha se aclarará si Air Miles España ofrece una actualización o si los atacantes publican más datos. Por ahora, las afirmaciones de Everest ponen de manifiesto el riesgo continuo que enfrentan los operadores de programas de fidelización que mantienen grandes conjuntos de datos y sirven a amplias redes minoristas.