La filtración de datos de Qantas: Una llamada de atención sobre el riesgo humano en la ciberseguridad de la aviación
Cuando la mayor aerolínea de Australia confirmó un incidente cibernético que afectó a millones de pasajeros, no fue un sofisticado pirateo lo que hizo saltar las alarmas, sino un proveedor externo de confianza.
Aunque no se expusieron datos sensibles, el incidente ha suscitado serias preocupaciones sobre la privacidad de los clientes y ha llamado la atención sobre uno de los puntos débiles más persistentes de la ciberseguridad: el error humano.
He aquí lo que ocurrió y lo que cada organización puede aprender de ello.
¿Qué ocurrió?
El 30 de junio de 2025, Qantas detectó una actividad inusual en una plataforma de terceros utilizada por el centro de contacto de la aerolínea. Qantas confirmó que esta importante brecha de ciberseguridad está afectando hasta a 6 millones de clientes. La brecha expuso datos personales que incluían
- Nombres
- Datos de contacto
- Fechas de nacimiento
- Números de viajero frecuente
Aunque la aerolínea declaró que en ese sistema no se guardan datos sensibles como los de las tarjetas de crédito, información financiera personal o datos del pasaporte, un breve acceso no autorizado a datos personales de viajes puede causar daños duraderos a la reputación.
Lecciones clave para las empresas
Este incidente no afecta sólo a Qantas. Es una advertencia para cualquier organización con proveedores externos, datos de clientes y operaciones humanas. He aquí cinco consejos:
1. Sus proveedores forman parte de su perímetro de seguridad
La brecha provino de un centro de llamadas de terceros. Si sus proveedores no están siendo auditados regularmente en cuanto a formación en seguridad, controles de acceso y manejo de datos, sus defensas son tan fuertes como su eslabón más débil.
2. Las personas son el punto de entrada más fácil
Los piratas informáticos no necesitan escribir código para vulnerar sus sistemas. Sólo necesitan que alguien haga clic en el enlace equivocado, responda a la llamada equivocada o ignore el protocolo de seguridad. El riesgo humano no es teórico: es la realidad cotidiana.
3. Los datos "poco sensibles" siguen teniendo grandes consecuencias
Subestimar el valor de la información de los clientes, como las direcciones de correo electrónico o los números de fidelización, conduce a una mala higiene de los datos. Son objetivos principales para el robo de identidad, las estafas y el fraude.
4. El cumplimiento no es sólo papeleo: es protección
El sistema australiano de Notificación de Infracciones de Datos (NDB) y las próximas reformas de la Ley de Privacidad son claros: si una infracción puede causar daños, hay que actuar con rapidez. Un sólido plan de respuesta a incidentes -y la prueba de la diligencia debida- pueden limitar las consecuencias normativas.
5. La ciberseguridad empieza por la cultura, no por el software
La formación en seguridad debe ir más allá del cumplimiento de las normas. Debe ser continua, específica para cada función y extenderse a terceros. Una cultura de concienciación y responsabilidad reduce las posibilidades de que un error humano se convierta en una infracción en toda regla.
El riesgo humano es ahora un problema de los consejos de administración
La filtración de Qantas es un recordatorio de que incluso las marcas globales con infraestructuras informáticas sofisticadas son vulnerables cuando no se gestiona adecuadamente el riesgo humano. A medida que los reguladores de todo el mundo, incluida Australia, sigan examinando las prácticas de protección de datos, el coste de pasar por alto el riesgo humano no hará sino aumentar.
Invertir en formación continua sobre ciberseguridad, implantar un sólido control de acceso y fomentar una cultura de seguridad por diseño son pasos esenciales, no sólo para las aerolíneas, sino para cualquier organización que maneje datos confidenciales de clientes.
Cómo le ayuda usecure a reducir el riesgo humano
usecure ayuda a las empresas a abordar el riesgo humano con formación automatizada, simulaciones de phishing, gestión de políticas y supervisión de la Web oscura, todo ello diseñado para mejorar los comportamientos de seguridad de su plantilla. Póngase en contacto con nosotros hoy mismo para saber cómo usecure puede ayudar a su organización a crear una cultura en la que prime la seguridad.
