¿Qué hacer si mi tarjeta de crédito se ha visto afectada por un ciberataque como el de Air Europa?

¿Qué ha ocurrido?

El equipo de sistemas de la compañía ha advertido este martes de la presencia de un problema de ciberseguridad que ha afectado al entorno de pagos donde los clientes realizan compras a través de la web.

Esta brecha habría permitido "un acceso no autorizado a los datos de su tarjeta bancaria", como ha indicado la compañía en un comunicado, lo que ha podido permitir a los ciberdelincuentes el acceso a los datos bancarios de los clientes que hayan adquirido vuelos mediante la web de la aerolínea. La compañía asegura que ha bloqueado la brecha de seguridad y que no tienen constancia de que los datos hayan sido utilizados de forma fraudulenta.

Ya ocurrió algo similar en 2018, cuando la compañía sufrió otro ciberataque que afectó a casi medio millón de clientes. Entonces fue multada con 600.000 euros.

¿De qué datos se trata?

Los datos bancarios afectados incluyen el número de tarjeta de crédito o débito, la fecha de caducidad y el CVV o CVC, el Código Valor de Verificación, que está compuesto por los tres o cuatro números impresos en la parte posterior de la tarjeta y es uno de los requisitos para formalizar compras online. Estos son datos sensibles porque, con ellos, se puede suplantar la identidad del titular para hacer pagos online.

¿Qué pueden hacer con ellos?

Los ciberdelincuentes roban estos datos para obtener dinero, y lo suelen hacer mediante dos vías. Una de ellas es extorsionar a la organización afectada, en este caso Air Europa, para que pague a cambio de devolver los datos. "Otra opción es vender esta información en la web oscura -dark web- y, dependiendo de la calidad de los datos, ponen un precio u otro", explica a RTVE.es Miguel Ángel Thomas, responsable de ciberseguridad de NTT Data.

¿Puedo reclamar a la compañía aérea?

Sí. Como explica a RTVE.es el secretario general y portavoz de la organización de consumidores Facua, Rubén Sánchez, ante "cualquier perjuicio económico que se sufriera, podrían reclamarse responsabilidades a Air Europa".

Además, recuerda que también pueden reclamarse los sobrecostes bancarios. "Si alguien cancela su tarjeta por esto y el banco le dice que le cobra un cargo por emitir una nueva, el usuario podría plantear a Air Europa la responsabilidad de asumir ese coste porque es la propia compañía quien ha recomendado la cancelación".

Asimismo, hay algunos seguros del hogar que contemplan estos escenarios -dependiendo de las coberturas- y compensan económicamente algunos perjuicios derivados del uso fraudulento de las tarjetas por la suplantación de datos. El cliente puede consultar su contrato o llamar directamente al seguro para evaluar su situación.

En este contexto, el portavoz de Facua explica que la aerolínea ha tenido que informar del suceso a la Agencia Española de Protección de Datos (AEPD), algo "obligatorio" en estos sucesos, y el organismo tendrá que evaluar si es un ciberataque para el que se ha puesto suficiente remedio o no. "También deberá comprobar si el protocolo de seguridad de Air Europa está suficientemente blindado para evitar posibles hackeos futuros", indica.

Autenticación de doble factor: ¿qué es y por qué da más seguridad?

No obstante, recuerda que a la hora de realizar compras online existe una autenticación de doble factor -o autenticación reforzada- que da más seguridad a las transacciones online. Este sistema, en una normativa europea, es obligatorio para las entidades desde 2021 y debe aplicarse a las compras online, aunque con algunas excepciones. En cualquier caso, añade dos o más elementos para verificar que es el cliente quien está realizando la compra y no otra persona sin su consentimiento. Por ello, los expertos recomiendan a los clientes que comprueben si lo tienen activado consultándolo con la entidad o desde la app móvil.

Con este mecanismo, una vez introducidos los datos de la tarjeta en una plataforma online y aceptando la transacción, el usuario recibe un SMS en el móvil que tenga asociado al banco. En este mensaje podrá comprobar el importe y la información de compra y, una vez hecho, tiene que acceder a la app de la entidad para confirmar la compra, algo que suele hacerse con una clave de acceso o la huella dactilar.

"Teniendo en cuenta los protocolos de doble autentificación, no tendría por qué haber cargos fraudulentos, aunque alguien conozca los datos de la tarjeta de crédito", cuenta el portavoz de Facua.

Cabe recordar que, como indica la legislación europea, hay ciertas exenciones y no tiene por qué aplicarse a pagos inferiores a 30 euros por internet, o a los realizados por contactless -pagos sin contacto hechos con tarjeta- y con un importe menor a 50 euros. Tampoco a la hora de abonar peajes, parkings y suscripciones periódicas.

De este modo, el portavoz de Facua indica que "en teoría, podríamos estar tranquilos" porque, si no se cumple la autenticación reforzada, "es el banco quien está vulnerando la normativa y luego, igualmente, podríamos reclamar la devolución del dinero que se nos cobre de forma fraudulenta". No obstante, esta autenticación no es un sistema infalible y si se realizan compras dentro de las exenciones mencionadas, podría implicar más cargos indeseados. Por ello, quien quiera asegurarse del todo, puede seguir la recomendación de la aerolínea y cancelar su tarjeta.

Además, hay otro elemento que ya tienen algunas entidades, y es el CVV dinámico. "No aparece en la tarjeta y se genera a través de la app del banco", explica a RTVE.es el responsable de ciberseguridad de NTT Data. Este elemento es un añadido más en seguridad para el usuario porque "si te roban este código, puedes generar uno nuevo".

¿Cómo sé si una de las tarjetas afectadas es la mía?

Air Europa ha comunicado que está enviando correos electrónicos a los usuarios afectados para avisarle de lo sucedido y recomendarles que anulen sus tarjetas. Por tanto, si un cliente recibe este aviso por parte de la aerolínea es porque está entre los perjudicados.

Además, el propio usuario puede consultar el histórico de su tarjeta para ver si se han realizado movimientos o compras sospechosas. Puede hacerlo a través de la app móvil o accediendo al área personal mediante la web de la entidad, si se dispone de esas credenciales. Otra opción es llamar al banco o acudir a la sucursal y que allí lo comprueben.

En cualquier caso, el experto de ciberseguridad de NTT Data recuerda que, si se recibe un mensaje de una compra que no se reconoce, no se le dé clic a ningún enlace que aparezca ni se responda a dicho mensaje. En ese caso, lo más adecuado es contactar directamente con la entidad bancaria.

¿Qué tengo que hacer para anular mi tarjeta?

En el caso de que un cliente ya sepa que es uno de los afectados, o que simplemente lo sospeche y quiera prevenir y evitar posibles riesgos, tiene la opción de cancelar la tarjeta que ha utilizado.

Para hacerlo, puede acudir directamente a la app móvil de la entidad y, desde ahí, bloquearla o anularla. También tiene la posibilidad de hacerlo en la web de la entidad, llamando por teléfono o acudiendo a una sucursal, y es importante hacerlo lo antes posible para evitar perder tiempo y que se puedan realizar cargos adicionales.

¿Cómo recuperar el dinero por un uso fraudulento de mi tarjeta?

Además, los expertos indican que si ya se ha bloqueado la tarjeta y tenemos algún pago no reconocido, el primer paso es denunciarlo a la policía. Según indica HelpMyCash, este documento servirá para presentarlo si el banco deniega la devolución del importe defraudado.

Luego tiene que acudir al banco para poner una reclamación. Para ello, deberá rellenar un formulario de cargos no reconocidos que le tiene que proporcionar la entidad y enviarlo por correo electrónico al banco o a un gestor en la oficina. Después de todo ello, deberá esperarse una resolución que debe tardar, como mucho, un mes.

Ciberdelitos: ¿quiénes los cometen?

Como explica el responsable de ciberseguridad de NTT Data, se trata de organizaciones estructuradas y con objetivos claros. "Se juntan y unos se ocupan, por ejemplo, de contratar 'muleros', es decir, buscar a personas indigentes que les den un DNI con el que abrir una cuenta. Luego, otros hacen el software para realizar el ataque, y otros buscan a los clientes".

Menciona dos grupos organizados identificados. Uno de ellos es Magecart, formado por siete grupos criminales que atacan sistemas de pago online, y Carbanak, más enfocado a entidades financieras y sistemas de pago y venta amplios.

Contextos de guerra, un caldo de cultivo para que aumenten estos delitos

Analizando en panorama actual, el experto señala que "los ciberdelitos están aumentando y se ataca a todos, de forma indiferente". No obstante, los ciberdelincuentes no tienen el mismo modus operandi para todos sus objetivos y usan técnicas diferentes para atacar a pequeñas y medianas empresas que a otras más grandes: "En vez de ir a por la compañía, van a por alguna empresa de su cadena de suministros, por ejemplo".

Además, el hecho de que haya una situación geopolítica tensa -con guerras como la de Rusia y Ucrania- es un caldo de cultivo para que aumenten todavía más este tipo de delitos. "Las motivaciones que mueven a estas organizaciones son tres: obtener un beneficio económico, dañar la reputación de una entidad y motivos geopolíticos, como puede ser desestabilizar una economía o influir en la política de algunos países", indica