En un veredicto que subraya la gravedad de los incidentes de ciberseguridad en el sector empresarial español, la Audiencia Nacional ha confirmado la multa impuesta a Air Europa por la brecha de datos sufrida en 2018. Este fallo llega en un contexto en el que la protección de datos personales es una preocupación creciente para consumidores y reguladores por igual, especialmente tras la reciente revelación de un incidente similar en 2023.
El incidente de 2018 en Air Europa fue uno de los más graves en términos de robo de datos personales que haya afectado a una empresa en España. Se estima que los atacantes lograron hacerse con la información de aproximadamente medio millón de tarjetas de crédito y 1,5 millones de registros. La gravedad del ataque residía en la filtración de datos críticos como números de tarjeta, CVVs, fechas de vencimiento y nombres de los titulares, proporcionando a los delincuentes toda la información necesaria para realizar cargos fraudulentos a nivel mundial.
El ciberataque de 2023 parece haber utilizado una técnica conocida como «man in the middle» (hombre en el medio), donde los atacantes se interponen entre el cliente y la empresa para interceptar los datos de pago. Según expertos en ciberseguridad, esta técnica implica la inserción de código malicioso en el sitio web de la empresa, capturando y transmitiendo los datos de la tarjeta de crédito a un servidor controlado por los atacantes.
La multa y su justificación
La Agencia Española de Protección de Datos (AEPD) impuso una multa de 600.000 euros a Air Europa. De esta cantidad, 500.000 euros correspondían a las “numerosas vulnerabilidades graves” identificadas en sus sistemas de seguridad, mientras que los 100.000 euros adicionales se debían al retraso de 41 días en comunicar la brecha a la AEPD, incumpliendo el plazo legal de 72 horas.
Air Europa recurrió la sanción, argumentando que la multa era excesiva, ya que solo 21 clientes se habían puesto en contacto con la compañía para preguntar sobre el ciberataque. Sin embargo, la Audiencia Nacional desestimó este argumento, señalando que la gravedad del incidente no dependía del número de consultas recibidas sino del volumen y la naturaleza de los datos comprometidos.
El veredicto de la Audiencia Nacional
La Audiencia Nacional confirmó la multa, respaldando la postura de la AEPD y subrayando la obligación de las empresas de notificar rápidamente las brechas de seguridad. El tribunal destacó que el incumplimiento de esta obligación representa una violación grave de las normas de protección de datos.
La sentencia también rechazó la alegación de Air Europa respecto a la fecha en que tuvieron conocimiento del ciberataque. Según la AEPD, Air Europa debería haber notificado el incidente a partir del 18 de octubre de 2018, fecha en la que el Banco Popular alertó a la aerolínea sobre el uso fraudulento de las tarjetas de sus clientes. La Audiencia Nacional coincidió con esta fecha, señalando que la activación del modo de gestión de incidentes por parte de la aerolínea confirma que ya tenían constancia del problema en ese momento.
Repetición del patrón: la brecha de 2023
En octubre de 2023, Air Europa volvió a sufrir un ciberataque de similar gravedad. La aerolínea alertó a sus clientes para que cancelaran sus tarjetas de crédito tras la filtración de datos que incluía números de tarjetas y códigos de verificación. Este segundo incidente pone de manifiesto una vulnerabilidad recurrente en los sistemas de seguridad de la compañía.
Los detalles del ciberataque de 2023 aún son escasos, ya que la compañía se ha negado a proporcionar información específica sobre el número de usuarios afectados, citando que el caso todavía está bajo investigación. Sin embargo, se ha confirmado que la brecha afectó a clientes que realizaron sus compras de billetes a principios de agosto de 2023, lo que sugiere que el acceso no autorizado pudo haber estado en curso durante al menos dos meses.