Prácticamente todas las aerolíneas norteamericanas están en alerta máxima porque han recibido la advertencia, dijo Carmakal.
En las últimas tres semanas, tres importantes aerolíneas mundiales (WestJet (Canadá), Hawaiian Airlines (EE. UU.) y Qantas (Australia) confirmaron públicamente ciberataques que afectaron a sus sistemas, y los expertos en ciberseguridad afirman que más aerolíneas podrían haber sido el objetivo.
Datos clave
WestJet informó un incidente de ciberseguridad que comenzó el 13 de junio y que afectó los sistemas internos y potencialmente el acceso de los clientes a su aplicación y sitio web.
En una presentación ante la Comisión de Bolsa y Valores , Hawaiian Airlines reveló un evento de ciberseguridad que comenzó el 23 de junio y afectó ciertos sistemas de tecnología de la información.
El 27 de junio, el FBI advirtió que había observado que “el grupo cibercriminal Scattered Spider estaba ampliando sus objetivos para incluir al sector aéreo” y que “cualquier persona en el ecosistema aéreo, incluidos proveedores y contratistas de confianza, podría estar en riesgo”.
Charles Carmakal, director de tecnología de Mandiant , una empresa de ciberseguridad y subsidiaria de Google, escribió en Linkedin sobre “múltiples incidentes en el sector de las aerolíneas y el transporte” que se asemejan a las tácticas de Scattered Spider, sugiriendo que otras aerolíneas podrían haber sido el objetivo.
Qantas Airlines, la aerolínea de bandera de Australia, informó el miércoles que el lunes ocurrió un incidente cibernético en uno de sus centros de contacto que expuso datos de hasta 6 millones de clientes. Varios medios de comunicación informaron la semana pasada que Delta Air Lines bloqueó el acceso a las cuentas de viajero frecuente SkyMiles de algunos clientes, pero la aerolínea confirmó a Forbes que las acciones fueron preventivas y "no el resultado de ninguna violación de los sistemas de Delta o de los proveedores".
¿Qué es la araña dispersa?
Scattered Spider es una comunidad informal de hackers a la que se le atribuyen muchos ciberataques de alto perfil en los últimos años, incluidos los ataques de ransomware de 2023 contra MGM Resorts y Caesars Entertainment y, más recientemente, contra el minorista británico Marks & Spencer y la compañía de seguros Aflac . El grupo está compuesto principalmente por adultos jóvenes y algunos adolescentes, principalmente hablantes nativos de inglés radicados en Estados Unidos, Canadá y el Reino Unido, dijo Carmakal a Forbes. El grupo es más conocido por usar sofisticadas tácticas de ingeniería social como phishing, intercambio de SIM y suplantación de identidad para eludir los procesos de seguridad de autenticación multifactor. "Algo que probablemente hacen mejor que cualquier otro grupo es ingeniería social, y una gran parte de ese éxito es el acento occidental", dijo Carmakal. "Cuando fingen ser un empleado de 24 años de una empresa en Estados Unidos o el Reino Unido, suenan creíbles porque tienen 24 años y están radicados en Estados Unidos o el Reino Unido". Una vez que se han infiltrado en el sistema de una empresa, un grupo de hackers puede no revelarse de inmediato, según declaró a Forbes Alex Waintraub, experto en gestión de cibercrisis de CYGNVS , quien ha trabajado en cientos de casos de rescate. "En muchos casos, se mueven lateralmente y buscan un plan de ciberseguro, un plan de respuesta a incidentes o un desglose de las finanzas de la empresa como forma de evaluar su demanda". El objetivo es llegar a la cifra máxima que la empresa estaría dispuesta a pagar a cambio de que los hackers devuelvan la información robada. "No quiero decir que haya honor entre los ladrones, porque eso les da demasiado crédito", dijo Carmakal. "Pero creo que estos grupos entienden el modelo de negocio y lo cumplirán para poder seguir ganando dinero. Y ese modelo les exige ser fieles a su palabra".
¿Por qué las aerolíneas son blanco de ataques cibernéticos?
“La aviación es una industria rica en datos y las empresas suelen tener sistemas heredados antiguos interconectados con diversas plataformas de terceros”, afirmó Waintraub. “Poseen enormes cantidades de datos personales, de programas de fidelización e información de viajes, lo que las convierte en un blanco fácil”. Carmakal sugirió que una posible razón para este momento es simplemente que se trata de temporada alta de viajes y se acerca un fin de semana festivo. “A estos actores de amenazas no solo les motiva el dinero”, afirmó. “Les gusta el ego. Les gusta poder presumir ante sus amigos y decir que son responsables de esta noticia o de esta interrupción del servicio”. El modus operandi de Scattered Spider ha sido adentrarse en un sector y seleccionar múltiples objetivos antes de seguir adelante. “Suelen quedarse en ese sector durante unas semanas y perseguir a las grandes organizaciones”, explicó Carmakal. “No tiene por qué ser la más grande”.
¿Qué medidas han adoptado las aerolíneas?
Carmakal afirmó tener conocimiento de varias aerolíneas que han implementado cambios para evitar que Scattered Spider comprometa sus sistemas. "A los empleados les puede resultar un poco más difícil realizar ciertas acciones, como restablecer sus contraseñas", afirmó. "La gente se está tomando la amenaza muy en serio. Cuando se ve que un agente de amenazas en particular repite el mismo comportamiento una y otra vez con múltiples víctimas en el mismo sector, la gente se da cuenta".
Lo que no sabemos
¿Qué otras aerolíneas, si las hay, han sido atacadas? «Prácticamente todas las aerolíneas norteamericanas están en alerta máxima porque han recibido la advertencia», dijo Carmakal. «Normalmente, las revelaciones ocurren semanas después del hecho, pero no todas las empresas están obligadas a hacerlo. Depende de lo lejos que haya llegado el atacante. Es posible que las organizaciones afectadas aún no hayan llegado al punto en su investigación que les permita saber si se robaron datos».
¿Deberían los consumidores preocuparse por la exposición de sus datos personales?
“Los consumidores generalmente cuentan con la protección de las principales instituciones financieras si se exponen sus números de tarjetas de crédito”, afirmó Carmakal. Si un número de tarjeta de crédito es utilizado por un delincuente, por ejemplo, “obtendrá una nueva tarjeta de crédito y no será responsable de ninguna compra fraudulenta”. Afirma que la protección contra el robo de identidad es más difícil y reconoce que “los números de la Seguridad Social han sido robados muchísimas veces y, por lo general, están disponibles para cualquier persona que quiera acceder a ellos”. Como medida de sentido común, recomienda congelar su crédito con las tres principales agencias de crédito de EE. UU. (Equifax, Experian y TransUnion) para evitar que alguien solicite crédito a su nombre.
Por Suzanne Rowan Kelleher