**Compromiso de datos en Qantas: actores de amenazas explotan plataforma de terceros para acceder a información personal de clientes**
—
### Introducción
El sector aéreo vuelve a situarse en el centro de la atención de la ciberseguridad tras conocerse un importante incidente que afecta a Qantas Airways, la principal aerolínea de Australia. Un grupo de actores de amenazas logró comprometer una plataforma de terceros utilizada por la compañía, obteniendo acceso no autorizado a datos personales de clientes. Este suceso, detectado a principios de 2024, pone de manifiesto la creciente dependencia de servicios externos y el incremento de riesgos asociados a la cadena de suministro digital.
—
### Contexto del Incidente
El incidente se originó cuando ciberdelincuentes identificaron y explotaron vulnerabilidades en una plataforma de terceros utilizada por Qantas para gestionar diferentes procesos relacionados con la experiencia del cliente. Aunque la aerolínea aún no ha revelado el nombre específico del proveedor afectado, fuentes internas y análisis de expertos apuntan a que el acceso inicial no se produjo a través de los sistemas centrales de la propia Qantas, sino mediante credenciales comprometidas asociadas al proveedor externo.
Este ataque se suma a una tendencia al alza: en 2023 más del 60% de las brechas reportadas en grandes empresas estuvieron relacionadas con terceros, según el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
—
### Detalles Técnicos
Las primeras investigaciones señalan que la brecha podría estar relacionada con la explotación de una vulnerabilidad catalogada como CVE-2023-34362, que afecta a plataformas de gestión de datos ampliamente utilizadas en el sector. Los atacantes habrían empleado técnicas de spear phishing y herramientas automatizadas para acceder a credenciales privilegiadas.
Una vez dentro, el grupo desplegó herramientas como Cobalt Strike para el movimiento lateral y la enumeración de activos, siguiendo técnicas identificadas en los TTPs T1078 (Valid Accounts) y T1086 (PowerShell) del marco MITRE ATT&CK. Se han detectado indicadores de compromiso (IoC) consistentes con los utilizados por grupos vinculados a campañas de ransomware y exfiltración de datos, aunque hasta la fecha no se ha confirmado la publicación ni venta de los datos en foros clandestinos.
El exploit inicial permitió a los atacantes acceder a bases de datos donde se almacenaban nombres completos, direcciones de correo electrónico, números de teléfono y, en algunos casos, información parcial de tarjetas de crédito (sin CVV).
—
### Impacto y Riesgos
La magnitud del incidente está todavía bajo investigación, pero se estima que la brecha habría afectado aproximadamente al 15% de la base de usuarios activos de Qantas, lo que podría suponer cientos de miles de registros. Este tipo de información es especialmente susceptible de ser utilizada en campañas de phishing dirigidas, fraude de identidad o ingeniería social.
Desde el punto de vista normativo, Qantas debe afrontar las obligaciones impuestas por el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, dado que maneja datos de ciudadanos europeos y opera en infraestructuras críticas. El incumplimiento de los requisitos de notificación y protección de datos podría acarrear sanciones económicas que, según GDPR, pueden alcanzar hasta el 4% de la facturación anual global.
—
### Medidas de Mitigación y Recomendaciones
Tras la detección de la brecha, Qantas y el proveedor afectado han implementado medidas de contención como la revocación de credenciales comprometidas, segmentación adicional de la red y revisión exhaustiva de logs. Se recomienda a las organizaciones:
– Auditar periódicamente los accesos de terceros y revisar los acuerdos de nivel de servicio (SLA) en materia de ciberseguridad.
– Implantar autenticación multifactor (MFA) y segmentación estricta de privilegios.
– Realizar pruebas de penetración regulares enfocadas en la cadena de suministro.
– Monitorizar indicadores de compromiso y aplicar reglas de detección en SIEMs sobre técnicas asociadas a Cobalt Strike y PowerShell.
– Informar proactivamente a clientes y autoridades competentes en las primeras 72 horas, tal como exige el GDPR.
—
### Opinión de Expertos
David Martínez, CISO de una multinacional europea del sector transporte, destaca: “La externalización de servicios es inevitable, pero no delega la responsabilidad última sobre los datos. Es fundamental integrar la gestión de riesgos de terceros en el programa global de ciberseguridad”.
Por su parte, Ana Gómez, analista principal de amenazas en un CERT español, apunta: “El uso de herramientas avanzadas como Cobalt Strike por parte de actores criminales ya es la norma, y exige a los SOCs una vigilancia continua y un enfoque proactivo en la detección de movimientos laterales y exfiltración de datos”.
—
### Implicaciones para Empresas y Usuarios
Este incidente supone un claro aviso para empresas de cualquier sector que confían en proveedores externos para la gestión de datos sensibles. La cadena de suministro digital se ha convertido en uno de los vectores de ataque más explotados, obligando a revisar políticas de acceso, monitorización y respuesta ante incidentes.
Para los usuarios, el incidente pone en evidencia la necesidad de extremar la precaución ante comunicaciones sospechosas y revisar las credenciales asociadas a servicios vinculados a la aerolínea.
—
### Conclusiones
El compromiso sufrido por Qantas ilustra los riesgos crecientes asociados a la gestión de servicios y datos a través de terceros. La sofisticación de los atacantes y el uso de herramientas como Cobalt Strike subrayan la importancia de una defensa en profundidad y de un enfoque integral de la ciberseguridad, tanto a nivel técnico como normativo. La colaboración entre departamentos de IT, legales y los propios proveedores será clave para minimizar el impacto de este tipo de incidentes en el futuro.
(Fuente: www.darkreading.com)