AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque a WestJet expone los datos de 1,2 millones de clientes: análisis y repercusiones**

admin

### 1. Introducción

En junio de 2024, WestJet, una de las principales aerolíneas canadienses, confirmó haber sido víctima de un importante ciberataque que resultó en la filtración de información sensible de aproximadamente 1,2 millones de personas. Tras semanas de investigación forense, la compañía ha completado el análisis del incidente y ha comenzado a notificar a los afectados, en un contexto en el que la industria del transporte aéreo se encuentra bajo una creciente presión por parte de actores amenazantes.

### 2. Contexto del Incidente

El incidente tuvo lugar a mediados de junio de 2024, cuando WestJet detectó actividad anómala en sus sistemas internos. La investigación inicial apuntó a una brecha en uno de sus proveedores de servicios, lo que permitió el acceso no autorizado a bases de datos con información personal de clientes y empleados. Este vector de ataque se ha convertido en una tendencia recurrente en el sector, donde la cadena de suministro continúa representando un eslabón vulnerable.

La aerolínea, siguiendo los protocolos establecidos por la Office of the Privacy Commissioner of Canada y el GDPR (debido a clientes europeos), notificó el incidente y comenzó una exhaustiva revisión de los datos comprometidos. El incidente se produce en un entorno global marcado por el incremento de campañas de ransomware y exfiltración de datos dirigidas especialmente al sector del transporte y la logística.

### 3. Detalles Técnicos

WestJet ha confirmado que los atacantes explotaron una vulnerabilidad en la infraestructura de un tercero encargado de la gestión de reservas y fidelización. Aunque los detalles técnicos completos no han sido divulgados por motivos de seguridad, fuentes cercanas a la investigación han señalado la explotación de una vulnerabilidad similar a la CVE-2023-34362, relacionada con MOVEit Transfer, que ya fue utilizada previamente en ataques masivos a nivel mundial durante 2023 y 2024.

El ataque fue detectado tras observar un tráfico inusual y la presencia de herramientas de post-explotación asociadas a TTPs catalogadas en MITRE ATT&CK, concretamente la técnica T1567 (Exfiltration Over Web Service) y T1071 (Application Layer Protocol). Se identificó el uso de frameworks como Cobalt Strike para el movimiento lateral y la persistencia, así como scripts automatizados para la extracción de datos en lotes.

Entre los Indicadores de Compromiso (IoC) compartidos por WestJet se incluyen direcciones IP de origen en jurisdicciones asociadas a grupos de ransomware como Cl0p y BlackCat, cadenas hash SHA-256 de ejecutables maliciosos y artefactos encontrados en logs de acceso remoto no autorizado.

### 4. Impacto y Riesgos

El impacto de la brecha es significativo: se estima que la información personal de al menos 1,2 millones de clientes y empleados se encuentra actualmente en manos de actores maliciosos. Los datos comprometidos incluyen nombres completos, direcciones de correo electrónico, números de teléfono, información de programas de fidelización e, incluso, detalles parciales de documentos de identidad.

El riesgo principal radica en el posible uso de esta información para campañas de phishing dirigidas, ataques de ingeniería social y fraudes relacionados con la suplantación de identidad. Además, existe la posibilidad de que los datos sean revendidos en mercados clandestinos, incrementando la superficie de exposición para otras organizaciones y usuarios particulares.

Según estimaciones de la consultora Ponemon Institute, el coste medio de una brecha de este tipo en el sector aéreo supera los 4,35 millones de dólares, cifra que podría incrementarse si se añaden sanciones regulatorias bajo el GDPR y la legislación canadiense de privacidad.

### 5. Medidas de Mitigación y Recomendaciones

WestJet ha implementado una serie de acciones inmediatas para contener el incidente, incluyendo la revocación de credenciales comprometidas, la monitorización reforzada de sus sistemas y la colaboración activa con autoridades de ciberseguridad y cuerpos policiales.

Para las organizaciones del sector, se recomienda:

– Realizar un inventario exhaustivo de la cadena de suministro digital.
– Implementar segmentación de red y controles de acceso basados en el principio de mínimo privilegio.
– Desplegar soluciones de EDR (Endpoint Detection & Response) con capacidades de respuesta automatizada.
– Actualizar y parchear infraestructuras críticas con regularidad, especialmente aplicaciones de transferencia de archivos y gestión de reservas.
– Formar continuamente al personal en detección de campañas de phishing y amenazas de ingeniería social.

### 6. Opinión de Expertos

Expertos como Marc-Étienne Léveillé, investigador senior en ESET, señalan que “la dependencia de proveedores externos y la complejidad de los ecosistemas digitales en la aviación aumentan exponencialmente la superficie de ataque. No basta con asegurar los sistemas propios, sino que es imprescindible auditar y monitorizar a los partners”. Por su parte, el CERT canadiense ha alertado sobre “un repunte del 35% en ataques de exfiltración de datos a infraestructuras críticas en el primer semestre de 2024”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente refuerza la necesidad de adoptar marcos de cumplimiento como NIS2 y la aplicación estricta de la ISO 27001, con especial atención a la gestión de terceros y la respuesta a incidentes. Los CISOs deben considerar la ciber-resiliencia como un KPI estratégico y asegurar la continuidad del negocio ante incidentes de este tipo.

Para los usuarios afectados, se recomienda cambiar contraseñas asociadas a sus cuentas de WestJet, activar el doble factor de autenticación y permanecer atentos a comunicaciones sospechosas. La compañía ha ofrecido servicios gratuitos de monitorización de crédito y asistencia ante posibles fraudes.

### 8. Conclusiones

El ciberataque a WestJet subraya la criticidad de la seguridad en la cadena de suministro y la necesidad de una postura proactiva en ciberdefensa, especialmente en sectores con alta exposición a datos personales y transaccionales. La colaboración entre empresas, proveedores y entidades regulatorias será clave para reforzar la confianza en un contexto de amenazas en constante evolución.

(Fuente: www.securityweek.com)