La aerolínea Iberia afronta un nuevo incidente de seguridad tras confirmar un acceso no autorizado a un sistema gestionado por uno de sus proveedores, que ha expuesto información personal de clientes asociados a su programa de fidelización Iberia Club.
Según ha comunicado Iberia, la intrusión afectó a un repositorio de comunicación externo donde se almacena información limitada pero sensible. La aerolínea ha asegurado que la seguridad operacional no se encuentra comprometida y que el incidente no ha tenido impacto en los sistemas críticos vinculados a la gestión de vuelos.
La investigación preliminar apunta a que los datos potencialmente expuestos incluyen nombre y apellidos, dirección de correo electrónico, número de tarjeta de Iberia Club y teléfono de contacto. Asimismo, Iberia ha reconocido que los atacantes accedieron a ciertos códigos de reserva vinculados a vuelos futuros, aunque no dispone de evidencias de que hayan intentado utilizarlos de manera fraudulenta.
En paralelo, la firma ha insistido en que no se han visto comprometidos datos completos de medios de pago ni contraseñas de acceso a las cuentas de usuario. La compañía recalca que, por diseño, estos elementos no están alojados en el sistema afectado y que la información financiera no resulta usable por terceros.
Aunque Iberia subraya que no existen indicios de uso indebido, el incidente ha adquirido una dimensión más delicada después de que la firma de ciberseguridad HackManac informase de que el grupo de atacantes Everest exige un rescate de seis millones de dólares (5,18 millones de euros) para no publicar los datos obtenidos. Este tipo de presión coloca a la compañía bajo un escenario habitual en ataques dirigidos: robo de información, chantaje económico y amenaza de filtración pública.
Tras detectar la anomalía, Iberia activó su protocolo interno de seguridad y aplicó medidas adicionales para contener el incidente. Entre ellas, ha reforzado los controles técnicos relacionados con el cambio de correo electrónico en las cuentas de usuario, un vector habitual en intentos de secuestro de identidad digital. La compañía mantiene una vigilancia activa sobre los sistemas y colabora con sus proveedores tecnológicos para completar la investigación.
En coherencia con el Reglamento General de Protección de Datos (RGPD), Iberia ha notificado el incidente a la Agencia Española de Protección de Datos, al INCIBE y a la Unidad Central Operativa (UCO) de la Guardia Civil. El proceso continúa abierto tanto a nivel interno como externo.
Además, la aerolínea ha introducido un sistema de doble factor de autenticación obligatorio para los clientes afectados, con el fin de impedir cambios no autorizados en reservas o accesos a sus cuentas desde la web, la aplicación o el centro de atención telefónica.
La compañía ha aconsejado a los clientes vigilar cualquier comunicación sospechosa que puedan recibir en los próximos días, especialmente mensajes que soliciten acciones inusuales o enlaces externos. Iberia ha habilitado el teléfono +34 900 111 500 como canal para reportar cualquier indicio de anomalía, además del correo del delegado de Protección de Datos.
En su comunicación oficial, la aerolínea lamenta las molestias generadas y afirma que trabaja “para mitigar los efectos del incidente y evitar que pueda repetirse”, comprometiéndose a informar con transparencia si surgen novedades relevantes durante la investigación.