La aerolínea española ha comunicado un acceso no autorizado a un sistema de intercambio de información alojado por un proveedor externo que ha expuesto datos personales de parte de sus clientes. Según la compañía, la plataforma comprometida es ajena a la operativa de vuelo y su contenido es limitado, por lo que la seguridad de los vuelos no se ha visto afectada.
Tras detectar el incidente, Iberia lo ha puesto en conocimiento de la UCO de la Guardia Civil, la AEPD y el INCIBE, y ha iniciado una investigación para delimitar el alcance real de lo sucedido. La empresa está contactando de forma individual con las personas afectadas y ha desplegado medidas adicionales de control para reducir riesgos y evitar nuevos accesos indebidos.
Qué ha pasado y qué datos se han visto expuestos
La investigación apunta a un repositorio de comunicación externo, no vinculado a los sistemas críticos de la aerolínea. Iberia recalca que la información alojada en ese entorno era acotada y que la operativa y la seguridad de los vuelos no han corrido peligro.
Entre los datos comprometidos figuran datos personales básicos como nombre y apellidos y, en muchos casos, direcciones de correo electrónico; en menor medida, habrían quedado expuestos números de teléfono y el identificador de la tarjeta de fidelización Iberia Club.
La compañía reconoce que se han extraído algunos códigos de reserva de vuelos aún por realizar. No obstante, hasta el momento no hay constancia de actividad fraudulenta derivada de esa información.
Asimismo, Iberia insiste en que no se han expuesto datos completos de medios de pago ni credenciales de acceso a las cuentas, por lo que el riesgo de uso ilícito en transacciones financieras se considera bajo.
Medidas adoptadas por Iberia y canales de ayuda
Para blindar la gestión de las reservas, la aerolínea ha activado un doble factor de autenticación (2FA) en la app, la web y el canal telefónico, de forma que solo el titular pueda modificar o consultar su viaje incluso si un código de reserva hubiese quedado expuesto.
Paralelamente, Iberia ha iniciado comunicaciones individualizadas con los afectados y mantiene una monitorización reforzada de su entorno tecnológico. Se ha habilitado el teléfono gratuito +34 900 111 500 para resolver dudas y canalizar cualquier incidencia o sospecha.
La recomendación principal es extremar la cautela ante mensajes, llamadas o formularios inesperados que soliciten acciones o datos personales en nombre de la compañía, a fin de evitar tentativas de phishing. En algunas comunicaciones se sugiere, además, revisar las direcciones de contacto asociadas a la cuenta y considerar su actualización si se detecta actividad anómala.
Iberia ha pedido disculpas por las molestias ocasionadas y afirma que está poniendo todos los medios a su alcance para mitigar el impacto y reforzar sus controles técnicos y organizativos con sus proveedores.
¿Más alcance? La supuesta venta de 77 GB en la dark web
En paralelo al caso confirmado, medios especializados han informado de la oferta de 77 GB de documentación interna atribuida a Iberia por 150.000 dólares en foros de la dark web. Esa publicación asegura incluir materiales técnicos de aeronaves (p. ej., A320/A321), archivos de mantenimiento y otra documentación corporativa.
Por ahora, este extremo no ha sido verificado por Iberia. La compañía indica que está analizando la autenticidad y el alcance de dichos archivos y, en cualquier caso, subraya que no hay evidencias de impacto en sistemas operativos ni de exposición de datos sensibles de clientes más allá del repositorio externo ya comunicado.
De confirmarse, la supuesta filtración añadiría un vector de riesgo de carácter industrial y de propiedad intelectual; no obstante, a día de hoy el foco sigue centrado en el acceso indebido ya reconocido y en la protección de los usuarios afectados.
Marco europeo: obligaciones y responsabilidad con proveedores
El incidente encaja en una tendencia creciente de ataques a la cadena de suministro, donde los proveedores se convierten en puerta de entrada. La normativa europea exige reforzar este eslabón: el RGPD (art. 28) obliga a contratar solo encargados con garantías suficientes y a exigir medidas adecuadas de protección.
La Directiva NIS2 (art. 21) va más allá y exige gestionar los riesgos de la cadena de suministro, situando la ciberseguridad como una responsabilidad del órgano de gobierno y un elemento de diligencia debida empresarial, no solo técnico.
En España, el marco del Esquema Nacional de Seguridad y las obligaciones de notificación a la AEPD y a las autoridades competentes fijan el protocolo de respuesta. Iberia ha comunicado el incidente a UCO, AEPD e INCIBE, en línea con las exigencias de notificación a autoridades y cooperación.
El balance provisional deja un acceso indebido en un sistema externo, una exposición acotada de datos y medidas de contención ya activadas; la compañía mantiene que no hay indicios de fraude y que la seguridad de los vuelos no ha estado en riesgo, a la espera de cerrar la investigación y de aclarar los extremos aún no verificados.