Economía

Vueling sufre un fallo de seguridad y deja al descubierto datos de miles de usuarios

Al menos seis empresas más han sido afectadas por la misma vulnerabilidad, causada por un proveedor informático de servicios de formación a distancia

  • Un avión Airbus de la aerolínea de Vueling, la que más pasajeros transporta en El Prat.

Vueling, compañía aérea de bajo coste integrada en IAG (Iberia), y Nacex, empresa de envío de paquetería, además de al menos otras seis firmas de menor tamaño, han sufrido una vulnerabilidad informática que ha dejado al descubierto los datos de miles de empleados de los servicios de formación a distancia de dichas corporaciones, tal y como ha podido confirmar Vozpópuli.

La vulnerabilidad fue detectada la semana pasada en un servicio ofrecido por la empresa Arold Solutions, cuyo software 'E-xplicate', especializado en formación a distancia, se encuentra integrado en las webs de Vueling y Nacex -y el resto de compañías afectadas- para formar a trabajadores sin necesidad de desplazarse físicamente a lugar alguno. Muchas de las enseñas involucradas en el incidente se dedican, entre otras cosas, a la formación de pilotos.

"Se trata de una plataforma externa de servicios de e-learning ofrecida por un proveedor externo a Vueling. Este proveedor ha demostrado una reacción diligente en la que el equipo de IT de Vueling ha estado colaborando. En estos momentos, la plataforma está de nuevo en funcionamiento", explican fuentes de Vueling, con las que ha contactado Vozpópuli. Arold ha confirmado tanto a Vueling como a Nacex que no se ha producido el robo de dato alguno de los empleados de que utilizaron la plataforma.

Estos fallos de seguridad permiten a terceros inyectar código malicioso en programas informáticos. El objetivo es acceder a bases de datos y robar información y datos de usuarios para venderlos en los mercados negros

La vulnerabilidad ha sido descubierta por el experto en ciberseguridad y bug hunter -cazador de bugsTouseef Gul, quien ha explicado a Vozpópuli que "se trata de un script -documento con instrucciones escritas en código de programación- desactualizado, que permite realizar una inyección SQL (el ataque se denomina SQL Injection); una vulnerabilidad que ha afectado a Vueling y a Nacex, pero también a al menos a otras seis compañías que utilizaban el servicio desarrollado por Arold".

Arold, con quien también se ha puesto en contacto este medio, ha declinado hacer declaraciones al respecto. La compañía informática se ha limitado a declarar que "el problema está solucionado", sin dar detalles adicionales sobre el incidente. En el momento en el que se escribe esta información, como ya hemos afirmado anteriormente, no hay noticia de que se haya producido robo de datos alguno, a pesar de que la información personal de quienes han utilizado la plataforma quedó expuesta y pudo haber sido sustraída por terceros.

Hay que subrayar que las empresas que sufren el robo de datos derivado de una brecha de seguridad deben comunicar el hecho a la Agencia Española de Protección de Datos (AEPD), tal y como establece el Reglamento General de Protección de Datos.

El fallo de seguridad

Este tipo de fallos de seguridad (SQL Injection) permite a los ciberdelincuentes inyectar líneas de código malicioso en programas informáticos. El objetivo es modificar el comportamiento de determinados servicios para acceder a bases de datos y robar información de usuarios.

SQL (Structured Query Language) es un lenguaje de programación desarrollado para gestionar, entre otras cosas, el acceso a información contenida en bases de datos. La vulnerabilidad comentada anteriormente puede producirse de dos maneras diferentes, bien cuando el programa ejecuta una sentencia o acción concreta, bien cuando el programa está en fase de desarrollo y no se construye con todas las garantías de seguridad.

¿Qué sucede con la información robada?

A cambio de la información robada, los ciberdelincuentes suelen realizar dos tipos de acciones, unas veces piden un rescate a la empresa mientras otras subastan los datos en los mercados negros de Internet, generalmente en la Deep Web o la Dark Web, capas de la web con un acceso más complejo -no aparecen en los motores de los buscadores- en los que los ciberdelincuentes hacen su agosto. A pesar de ello, no es excesivamente complejo acceder a estos espacios, tal y como pudimos comprobar en Vozpópuli.

En el caso del robo de direcciónes de correo electrónico, "se venden en el mercado negro como parte de enormes bases de datos de correos electrónicos (previamente verificados) para el envío de correos no deseados, el spam", explican el INCIBE, (Instituto Nacional de Ciberseguridad).

Entre los datos que más interesan a los cibercriminales que se dedican al robo de datos están las contraseñas. "El ciberdelincuente también puede encontrar contraseñas de servicios de pago (de cualquier tipo) que podrá vender o números de tarjeta de débito/crédito con su correspondiente código PIN. Seguro que conoces algún caso de tarjetas de crédito duplicadas (...). Sean del tipo que sean, se venden en el mercado negro. Las contraseñas de redes sociales pueden servirle a un delincuente para hacerse pasar por otra persona (por nosotros) a la hora de cometer algún delito. Además, en nuestras redes sociales hay más información de utilidad para ellos que también puede venderse: desde números de teléfono, nuestros o de otros, otras contraseñas, y fotos, por ejemplo de niños. Como veis: todo se vende", asegura el INCIBE.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli