EasyJet, aerolínea británica de bajo costo, admitió este martes que la compañía fue víctima de un ataque cibernético, calificado como «altamente sofisticado», que expuso direcciones de correo electrónico y detalles de viaje de alrededor de 9 millones de sus clientes.
En una declaración oficial, EasyJet confirmó que de los 9 millones de usuarios afectados, a un pequeño subconjunto de clientes, exactamente 2,208 clientes, también se les robaron sus datos de tarjetas de crédito, pero no se accedió a los detalles de su pasaporte.
La aerolínea no reveló con precisión cómo ocurrió la violación de seguridad, ni cuándo ocurrió, cómo lograron acceder los «atacantes sofisticados», ni más información relevante.
Sin embargo, EasyJet afirmó a sus usuarios que la compañía cerró el acceso no autorizado luego del descubrimiento y que no encontró «evidencia de que los atacantes hayan utilizado de forma indebida información personal de ninguna naturaleza».
«Tan pronto como nos dimos cuenta del ataque, tomamos medidas inmediatas para responder y gestionar el incidente y contratamos a expertos forenses líderes para investigar el problema», dijo la compañía.
EasyJet también notificó a la Oficina del Comisionado de Información (ICO), la agencia de protección de datos de Gran Bretaña, y sigue investigando el incidente de violación para determinar su alcance y mejorar aún más su entorno de seguridad.
«Nos tomamos muy en serio la ciberseguridad de nuestros sistemas y tenemos medidas de seguridad sólidas para proteger la información personal de nuestros clientes. Sin embargo, esta es una amenaza en evolución a medida que los atacantes cibernéticos se vuelven cada vez más sofisticados», dijo el director ejecutivo de EasyJet, Johan Lundgren.
«Desde que nos enteramos del incidente, quedó claro que debido a COVID-19, existe una gran preocupación por el uso de datos personales para estafas en línea. Todas las empresas deben seguir siendo ágiles para adelantarse a la amenaza», agregó.
Como medida de precaución recomendada por el ICO, la aerolínea comenzó a contactar a todos los clientes cuyos datos de viaje y tarjeta de crédito fueron accedidos en el incumplimiento para aconsejarles que estén «más atentos, especialmente si reciben comunicaciones no solicitadas».
La compañía mencionó que los clientes afectados serán notificados antes del 26 de mayo.
El año pasado, la ICO multó a British Airways con una cifra récord de 183 millones de libras, por no proteger adecuadamente la información personal de alrededor de medio millón de sus clientes durante un incidente de violación de seguridad de 2018, que involucra un robo de tarjetas de crédito en su sitio web con Magecart.
