aerolínea británica de bajo costo EasyJet admitió hoy que la empresa ha sido víctima de un ciberataque, que calificó como «altamente sofisticado», exponiendo las direcciones de correo electrónico y los detalles de viaje de alrededor de 9 millones de sus clientes.
En un comunicado oficial publicado hoy, EasyJet confirmó que de los 9 millones de usuarios afectados, a un pequeño subconjunto de clientes, es decir, 2.208 clientes, también les robaron los datos de su tarjeta de crédito, aunque no se accedió a los datos del pasaporte.
La aerolínea no reveló con precisión cómo ocurrió la filtración, cuándo ocurrió, cuándo la descubrió la empresa, cómo los sofisticados atacantes lograron acceder sin autorización a la información privada de sus clientes y durante cuánto tiempo tuvieron ese acceso a los sistemas de la aerolínea. .
Sin embargo, EasyJet aseguró a sus usuarios que la compañía había cerrado el acceso no autorizado luego del descubrimiento y que no encontró «ninguna evidencia de que los atacantes hayan hecho un mal uso de cualquier información personal de cualquier naturaleza».
«Tan pronto como nos dimos cuenta del ataque, tomamos medidas inmediatas para responder y gestionar el incidente y contratamos a los principales expertos forenses para investigar el problema», dijo la compañía en un comunicado publicado hoy.
EasyJet también notificó a la Oficina del Comisionado de Información (ICO), la agencia de protección de datos de Gran Bretaña, y continúa investigando el incidente de violación para determinar su alcance y mejorar aún más su entorno de seguridad.
«Nos tomamos muy en serio la seguridad cibernética de nuestros sistemas y contamos con sólidas medidas de seguridad para proteger la información personal de nuestros clientes. Sin embargo, esta es una amenaza en evolución a medida que los atacantes cibernéticos se vuelven cada vez más sofisticados», dice el director ejecutivo de EasyJet, Johan Lundgren.
«Desde que nos enteramos del incidente, ha quedado claro que, debido a la COVID-19, existe una mayor preocupación por el uso de datos personales para estafas en línea. Todas las empresas deben seguir manteniéndose ágiles para mantenerse a la vanguardia de la amenaza».
Como medida de precaución recomendada por el ICO, la aerolínea comenzó a contactar a todos los clientes cuyos datos de viaje y tarjetas de crédito fueron accedidos en la violación para aconsejarles que estén «muy atentos, particularmente si reciben comunicaciones no solicitadas».
Los clientes afectados serán notificados antes del 26 de mayo.
El año pasado, la ICO multó a British Airways con un récord de £ 183 millones por no proteger la información personal de alrededor de medio millón de sus clientes durante un incidente de violación de seguridad en 2018 que involucró un ataque de robo de tarjetas al estilo Magecart en su sitio web.
Los clientes afectados deben sospechar de los correos electrónicos de phishing, que suelen ser el siguiente paso de los ciberdelincuentes para engañar a los usuarios para que proporcionen más detalles de sus cuentas, como contraseñas e información bancaria.
Se recomienda a los clientes afectados que expongan los detalles de su tarjeta de crédito que bloqueen las tarjetas afectadas y soliciten una nueva de su respectiva institución financiera, y siempre vigilen de cerca sus estados de cuenta bancarios y de tarjetas de pago para detectar cualquier actividad inusual e informen al banco si encuentra ninguna.
