Qantas ha sufrido recientemente una filtración de datos que ha puesto en peligro los datos personales de hasta seis millones de clientes, después de que los ciberdelincuentes se aprovecharan de un centro de llamadas de TI en el extranjero. Este incidente pone de relieve que el factor humano sigue siendo el eslabón más vulnerable de la ciberseguridad, ya que los atacantes utilizan tácticas de ingeniería social, como la suplantación de identidad y el vishing, para eludir las defensas tecnológicas. Mientras Australia se enfrenta a una serie de infracciones de gran repercusión -entre ellas las que afectaron a Optus, Medibank y el sector de las pensiones-, las estrategias de gestión de riesgos deben evolucionar para hacer frente a estos sofisticados ataques dirigidos contra seres humanos. Aunque en el caso de Qantas no se expusieron datos financieros, la acumulación de filtraciones de datos permite a los piratas informáticos agregar información, lo que aumenta la amenaza de robo de identidad y campañas de phishing.
Filtración de datos de Qantas: La ingeniería social explota el factor humano en la ciberseguridad
La brecha de Qantas puso al descubierto una vulnerabilidad crítica en la que una simple llamada telefónica comprometía información sensible de los clientes.
Los ciberdelincuentes atacaron un centro de soporte informático en el extranjero asociado a Qantas, accediendo a una plataforma de terceros mediante ingeniería social. Este método, también conocido como vishing, consiste en engañar a los empleados haciéndose pasar por usuarios o contratistas legítimos para eludir las salvaguardas de autenticación multifactor (MFA). En particular, el conocido grupo de hackers Scattered Spider ha empleado ampliamente estas tácticas contra el sector de las aerolíneas a escala mundial, como ponen de relieve las recientes advertencias de las autoridades estadounidenses.
- Datos comprometidos: nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y números de viajero frecuente
- No se ha accedido a datos financieros ni del pasaporte: reducir las pérdidas económicas inmediatas, pero sin disminuir los riesgos para la intimidad
- Vector de ataque: la selección de un proveedor de servicios externo, poniendo de relieve los riesgos de la cadena de suministro
- Técnicas de ingeniería social: suplantación de identidad y llamadas telefónicas engañosas (vishing) para burlar las defensas
El incidente de Qantas ilustra cómo avances en la clonación de voz basada en IA amplificarán estas amenazas, complicando la detección y la respuesta.
| Aspecto | Detalles | Impacto |
|---|---|---|
| Tipo de violación de datos | Compromiso del centro de llamadas informáticas de terceros | Acceso a los datos personales de los clientes |
| Método de ataque | Ingeniería social (vishing, suplantación de identidad) | Eludir la AMF y los protocolos de seguridad |
| Datos expuestos | Nombres, correos electrónicos, números de teléfono, fechas de nacimiento, información de viajero frecuente | Riesgo de suplantación de identidad y phishing |
| Datos financieros | No se ha accedido | Pérdida monetaria inmediata limitada |
Aumentar la concienciación sobre la seguridad y la respuesta a los incidentes para contrarrestar los ataques dirigidos contra las personas
La frecuencia de los ataques de ingeniería social ha aumentado en varios sectores, como confirman los últimos informes del Comisionado de Información australiano. Los organismos públicos y los sectores financiero y sanitario son especialmente vulnerables. Esta tendencia exige un cambio para mejorar la seguridad de los empleados. concienciación sobre seguridad y mejorar respuesta a incidentes marcos.
- Implantar programas de formación exhaustivos sobre la identificación y resistencia al phishing y al vishing.
- Reforzar los controles de acceso, aprovechando rigurosamente la autenticación multifactorial.
- Realización periódica de auditorías de seguridad y pruebas de penetración, incluidos los proveedores externos.
- Desarrollar planes de respuesta rápida a incidentes centrados en infracciones de ingeniería social.
Las empresas deben dar prioridad al componente humano tanto como a las salvaguardias tecnológicas. De lo contrario, las amenazas podrían aprovecharse de fallos de vigilancia aparentemente menores, como demostró el caso Qantas. Integrar los conocimientos de Herramientas de ciberseguridad basadas en IA pueden reforzar aún más las defensas anticipando y mitigando las técnicas de ataque en evolución.
| Medida de seguridad | Objetivo | Eficacia contra la ingeniería social |
|---|---|---|
| Formación sobre sensibilización en materia de seguridad | Educar a los empleados sobre los riesgos de phishing y vishing | Alto: reduce los errores humanos |
| Autenticación multifactor | Reforzar la seguridad de acceso a las cuentas | Moderado: puede eludirse mediante suplantación de identidad. |
| Evaluaciones de proveedores externos | Identificar y gestionar los riesgos de la cadena de suministro | Alta - limita las vulnerabilidades externas |
| Planificación de respuesta a incidentes | Permitir una rápida contención y reparación | Alto - minimiza el impacto de la violación |
Lecciones sobre gestión de riesgos extraídas de las recientes filtraciones de datos, entre ellas la de Qantas
La filtración de Qantas es emblemática de un patrón más amplio ilustrado por los ataques a Optus, Medibank y el sistema de pensiones australiano. Las violaciones de datos agregados elevan la amenaza de grandes robo de identidad incidentes y ciberataques complejos.
Los fondos de pensiones ya han sufrido ataques de "credential stuffing" aprovechando credenciales comprometidas en anteriores ataques. En algunos casos, las retiradas fraudulentas ascendieron a medio millón de dólares australianos, aunque limitadas por bloqueos proactivos y la demografía de los titulares de los fondos. La Autoridad Australiana de Regulación Prudencial (Apra) hizo hincapié en la acuciante necesidad de mejorar la madurez de la ciberseguridad y resistencia operativa entre instituciones financieras.
- La suplantación de credenciales se aprovecha de los datos agregados sobre infracciones
- Es urgente mejorar la ciberresiliencia multisectorial
- Vulnerabilidades de los sistemas de terceros en las cadenas de suministro
- Una gobernanza sólida y la supervisión del Consejo aumentan la responsabilidad
Las actualizaciones tecnológicas por sí solas son insuficientes; las organizaciones deben adoptar enfoques holísticos que combinen personas, procesos y tecnología. Estrategias integrales de ciberseguridad y gestión de identidades y accesos son obligatorios para reducir la exposición y los posibles daños.
| Riesgo clave | Sector afectado | Enfoque de gestión de riesgos recomendado |
|---|---|---|
| Vishing e ingeniería social | Aerolíneas, Gobierno, Finanzas | Formación mejorada, control de acceso estricto, detección asistida por IA |
| Vulnerabilidades de la cadena de suministro de terceros | Tecnología, Sanidad, Servicios financieros | Evaluación de riesgos de proveedores, cláusulas contractuales de seguridad |
| Agregación de datos de múltiples violaciones | Todos los sectores | Intercambio de información intersectorial, inteligencia avanzada sobre amenazas |