Imagine que está en la puerta de embarque, con la tarjeta de embarque en la mano, y la aplicación se bloquea. Entre bastidores, un grupo de ciberdelincuentes adolescentes acaba de explotar el servicio de asistencia de su aerolínea y ha redirigido sistemas sensibles.

Esto no es ficción. Está ocurriendo ahora mismo.

Una nueva oleada de ciberataques está arrasando el sector de las aerolíneas, y en el centro de todo se encuentra una amenaza especializada en engañar a los humanos, no sólo a las máquinas.

En el último mes, Qantas, Hawaiian Airlines y WestJet han revelado incidentes cibernéticos. Qantas informó que hasta seis millones de clientes se vieron afectados, aunque no se comprometieron datos de pasaportes ni de pagos. Hawaiian Airlines reveló una interrupción alineada con tácticas de ransomware, mientras que WestJet reveló un ataque a principios de junio que afectó a los servicios móviles y en línea.

En todos los casos, las operaciones de vuelo no se vieron afectadas, pero el mensaje es claro: las compañías aéreas están en el punto de mira.

El 28 de junio, el FBI alertó de que el grupo de ciberdelincuentes conocido como Scattered Spider está atacando activamente el sector de las aerolíneas. Este grupo, compuesto principalmente por jóvenes angloparlantes de Estados Unidos y el Reino Unido, es conocido por sus sofisticadas tácticas de ingeniería social y su colaboración con sindicatos de ransomware como servicio.

¿Quién es Scattered Spider?

Scattered Spider, también conocido como UNC3944, Starfraud o Muddled Libra, es un colectivo descentralizado de ciberdelincuentes que ha adquirido notoriedad por ataques de gran repercusión en diversos sectores.

Estos adolescentes persistentes avanzados operan no tanto como una banda centralizada, sino como un movimiento social: ágil, colaborativo y difícil de ubicar.

Ingeniería social: Se hacen pasar por empleados o contratistas para engañar a los servicios de asistencia informática con el fin de que concedan accesos no autorizados.
Utilizan el bombardeo de autenticación multifactor (MFA) y el intercambio de SIM para romper las defensas que la mayoría asume como seguras.
Phishing avanzado: Usan kits de ataque en el medio (AITM) como Evilginx para secuestrar sesiones de inicio de sesión activas mediante el robo de tokens de autenticación.
Ataque a terceros proveedores: Explotan vulnerabilidades en proveedores de TI y centros de llamadas de terceros para infiltrarse en organizaciones más grandes.

Sus actividades recientes han incluido ataques a grandes minoristas como Marks & Spencer y Co-op en el Reino Unido, que han provocado importantes pérdidas económicas, y algunas estimaciones cifran sus daños en más de 600 millones de dólares.

¿Por qué aerolíneas? ¿Por qué ahora?

El sector de las aerolíneas representa un objetivo atractivo para los ciberdelincuentes debido a su compleja infraestructura digital, su dependencia de terceros proveedores y el elevado valor de los datos de los clientes. El giro de Scattered Spider hacia este sector coincide con la temporada alta de viajes de verano, lo que aumenta el impacto potencial de sus operaciones.

En el caso de Qantas Airways, la brecha implicaba vishing (phishing de voz), una táctica en la que los ciberdelincuentes se hacen pasar por empleados para extraer datos confidenciales. Aunque no se accedió a información financiera ni de pasaportes, los datos comprometidos incluían nombres, fechas de nacimiento, correos electrónicos, números de teléfono y números de viajero frecuente.

Estrategias de mitigación

La defensa contra grupos como Scattered Spider requiere un enfoque polifacético:

Reforzar los protocolos del servicio de asistencia: Implemente procesos rigurosos de verificación de identidad para las solicitudes de acceso. Forme al personal del servicio de asistencia para que reconozca y notifique las actividades sospechosas.
Mejorar la seguridad de MFA: Adopte métodos de MFA más potentes, como tokens de hardware o autenticación biométrica, y controle las solicitudes de MFA inusuales.
Supervisar el acceso de terceros: Revise periódicamente cómo acceden los proveedores externos a sus sistemas, asegúrese de que siguen prácticas de seguridad sólidas y proporcióneles sólo el acceso mínimo que necesitan para hacer su trabajo.
Promover una cultura en la que prime la seguridad: Inste a los empleados a informar de actividades sospechosas y ayúdeles a seguir los protocolos de seguridad, incluso bajo presión.

Reflexiones finales

Scattered Spider no sólo irrumpe en los sistemas, sino también en las personas. Se aprovechan del estrés, la velocidad y la capacitación superficial. Por eso, las herramientas de seguridad sin una mentalidad de seguridad no son más que armaduras vacías.

Cuando Scattered Spider ataca, no se trata sólo de un problema de seguridad, sino de una crisis operativa. Los sistemas se apagan. Los clientes pierden la confianza. El personal de primera línea lucha sin las herramientas en las que confía. Aun cuando los aviones sigan volando, el coste de la limpieza, los análisis forenses y la recuperación se mide en semanas... y en millones.

Scattered Spider ha roto la ilusión de que la MFA por sí sola es «resistente al phishing». Aunque la MFA detiene en seco los ataques de fuerza bruta, no detendrá a un atacante motivado que tenga como objetivo a su personal y sus procesos.

No se limite a parchear sistemas o invertir en otra herramienta: transforme su cultura. Comience con nuestro nuevo Informe sobre cultura de seguridad: una hoja de ruta práctica para ayudar a motivar a su personal a convertirse en defensores seguros y capaces de su organización.