Una estafa de soporte técnico provocó una filtración masiva de datos en Qantas que afectó a 5,7 millones de clientes

El organismo de control de privacidad de Australia ha dictaminado que Qantas no violó las leyes de privacidad cuando un ataque de vishing engañó a un agente del centro de contacto para que filtrara la información personal de 5,7 millones de clientes, un hallazgo que pone de relieve lo eficaz que puede ser la ingeniería social incluso contra personal bien capacitado.

La filtración de 2025 ocurrió cuando un llamante que decía ser del “soporte informático de Qantas” convenció a un empleado del centro de contacto para que conectara el sistema de gestión de relaciones con los clientes de la aerolínea a una herramienta externa de extracción de datos. El atacante sustrajo entonces información de identificación personal de millones de clientes.

La Comisionada de Privacidad de Australia, Carly Kind, concluyó que Qantas había tomado medidas razonables para prevenir tal incidente y, por lo tanto, no contravenía los Principios Australianos de Privacidad. La aerolínea había auditado al operador del centro de contacto, evaluado la concienciación de seguridad de los empleados en los meses anteriores al ataque, exigido formación recurrente en privacidad e implementado controles de acceso basados en roles.

“Parece que Qantas no podía haber previsto y prevenido razonablemente la filtración de la manera en que ocurrió”, declaró el informe de la Comisionada. “La forma en que el actor malicioso obtuvo acceso fue a través de un ataque de vishing que no podría haberse prevenido reforzando los controles de acceso basados en roles actuales de Qantas.”

La Comisionada se negó a abrir una investigación formal, aunque el asunto podría ser revisado. Ya están en curso demandas colectivas contra la aerolínea.

Aunque el informe no nombra a los atacantes, las especulaciones del sector apuntan a la banda criminal Scattered Spider, que había desplazado su enfoque hacia la industria de la aviación en las semanas anteriores al incidente de Qantas.

El fallo sienta un precedente notable sobre cómo los reguladores pueden considerar los ataques sofisticados de ingeniería social contra organizaciones con prácticas de seguridad maduras, y subraya que incluso los sistemas bien defendidos siguen siendo vulnerables a la vulnerabilidad más antigua: la confianza humana.

Traducido por Alessandra

Scroll to Top