La banda de ransomware Everest afirma haber vulnerado los sistemas de la aerolínea española Iberia y extraído 596 GB de datos internos de la aerolínea. El grupo publicó la afirmación en su sitio de filtraciones y dijo que exige un rescate de 6 millones de dólares para evitar la publicación o venta del material. Según los informes, las muestras publicadas incluyen nombres de clientes, datos de contacto, fechas de nacimiento, información de reservas, datos de tarjetas de pago enmascaradas y perfiles de marketing. Los atacantes también afirman que obtuvieron 430 GB de archivos de correo electrónico que, según se informa, contienen más de cinco millones de registros relacionados con reservas de vuelos.
El grupo además afirma que mantuvo acceso a largo plazo a los sistemas de Iberia y que podía visualizar y modificar los datos de reservas. Según la publicación filtrada, los atacantes afirman que el conjunto de datos incluye historiales completos de reservas, identificadores personales y registros de comunicaciones vinculados a reservas de pasajeros. Estas afirmaciones no han sido verificadas de forma independiente, y Iberia no ha confirmado si el volumen completo de datos descrito es genuino.
Iberia atribuyó anteriormente el incidente a una brecha en un proveedor externo y afirmó que no se habían expuesto las credenciales de acceso ni la información completa de pago. La aerolínea indicó que los nombres de los clientes, identificadores de tarjetas de fidelidad y direcciones de correo electrónico podrían haber sido comprometidos. La escala de datos que ahora afirma el Everest parece significativamente mayor de lo que la aerolínea reconoció inicialmente. La presencia de extensos registros de reservas plantea la posibilidad de que los atacantes tuvieran acceso a sistemas con privilegios más amplios que los descritos en la divulgación original de la aerolínea.
Investigadores de seguridad que revisaron las muestras publicadas afirmaron que el material parece coherente con datos que a menudo almacenan los sistemas de reservas aéreas. Los archivos de correo electrónico de estos sistemas pueden contener detalles de vuelos, información de pasajeros, actualizaciones de reservas y registros parciales de pagos. Si es auténtico, el conjunto de datos podría presentar riesgos notables para los viajeros afectados. Los atacantes podrían utilizar la información para cambios fraudulentos de reservas, robo de identidad, phishing o estafas dirigidas. La publicación pública de información editable de reservas también podría permitir cambios maliciosos en los vuelos o intentos de usar indebidamente identificadores financieros almacenados.
Everest advirtió que la publicación del conjunto de datos completo causaría una gran interrupción y posibles daños para los pasajeros. El grupo utiliza frecuentemente estas amenazas para aumentar la presión sobre las víctimas en las negociaciones de rescate. Los analistas de ciberseguridad afirmaron que, si los atacantes hubieran tenido acceso a largo plazo, podrían haber podido capturar datos más allá de los que se han publicado hasta ahora.
Iberia declaró que ha activado procedimientos de respuesta a incidentes, notificado a las fuerzas del orden y tomado medidas destinadas a reducir el riesgo de nuevos accesos no autorizados. La divulgación inicial de la aerolínea indicaba que requiere códigos de verificación antes de que los usuarios cambien la dirección de correo electrónico de su cuenta como parte de sus medidas de seguridad. No ha comentado públicamente las afirmaciones hechas por Everest acerca del alcance de los datos ni de la demanda de rescate.
El incidente pone de manifiesto los riesgos que enfrentan las aerolíneas que dependen de proveedores y proveedores de servicios externos para gestionar los sistemas de reservas y comunicación. Los analistas de seguridad señalan que los ataques a estos socios pueden exponer grandes volúmenes de datos sensibles incluso cuando los propios sistemas de la aerolínea cumplen con los estándares de seguridad. Aconsejan a los pasajeros que tengan cautela con correos electrónicos inesperados relacionados con reservas y que verifiquen la comunicación a través de canales oficiales en lugar de enlaces enviados en mensajes no solicitados.