La segunda mayor aerolínea de Canadá reconoció que un grupo criminal accedió a información personal y documentos de viaje de clientes. El ataque, atribuido al colectivo Scattered Spider, se suma a una ola de incidentes contra la industria aérea mundial durante 2025.
WestJet, la segunda aerolínea más grande de Canadá confirmó recientemente que 1,2 millones de personas se vieron afectadas por el ciberataque que sufrió la compañía en junio de este año. La investigación sobre el incidente, concluida el pasado mes de septiembre, reveló que los atacantes accedieron a datos personales, documentos de viaje y otra información sensible de los pasajeros.
La aerolínea informó de los resultados en una notificación enviada a la Oficina del Fiscal General del Estado de Maine en los Estados Unidos y a las autoridades canadienses, en la que detalló que se trató de un “tercero criminal sofisticado” que irrumpió en sus sistemas. Entre los datos comprometidos figuran nombres, fechas de nacimiento, direcciones, pasaportes, identificaciones gubernamentales, solicitudes de alojamiento y quejas de clientes.
Los miembros del programa WestJet Rewards también vieron expuestos sus números de identificación, puntos acumulados y otros detalles asociados a sus cuentas.
En una actualización del incidente publicada en su sitio web el pasado 29 de septiembre, la compañía explicó que “Dada la gran importancia de la seguridad de los datos para la integridad de nuestro negocio, estamos preparados para incidentes de esta naturaleza y, siguiendo nuestro plan de respuesta, tomamos medidas inmediatas para contener el incidente y proteger nuestros sistemas”, y aseguraron que “en ningún momento la seguridad o integridad de nuestras operaciones estuvo en riesgo” durante el incidente.
La aerolínea subrayó en el mismo comunicado que no se comprometieron contraseñas, números de tarjetas de crédito, fechas de vencimiento ni códigos CVV. No obstante, los clientes con tarjetas WestJet emitidas a través de entidades financieras externas podrían haber visto afectada información básica de sus cuentas. WestJet pidió además que los pasajeros notifiquen a otras personas que hayan viajado bajo el mismo número de reserva, ya que su información también podría haberse visto expuesta.
De acuerdo con medios especializados, los atacantes habrían logrado el acceso inicial mediante ingeniería social, restableciendo la contraseña de un empleado para ingresar a través de Citrix y comprometer las redes Windows y los servicios en la nube de Microsoft de la compañía. Si bien no se ha atribuido oficialmente el ataque, las autoridades y expertos en ciberseguridad sospechan de la banda Scattered Spider, responsable de recientes campañas de ransomware y robo de datos contra aerolíneas como Qantas y Hawaiian Airlines.
El FBI, el Centro Canadiense de Seguridad Cibernética y la Oficina del Comisionado de Privacidad de Canadá están involucrados en la investigación del incidente. Mientras tanto, la compañía ofreció a las víctimas un servicio gratuito de monitoreo de identidad por dos años.
El incidente se produce en un contexto de creciente presión sobre el sector aeronáutico. En junio, y tal como lo informamos en este blog, Qantas reveló una violación que afectó a 5,7 millones de clientes, y hace algunas semanas atrás, en Europa, un ciberataque a un proveedor de software provocó cancelaciones en aeropuertos como Heathrow, Berlín y Dublín.
Scattered Spider, a quien se atribuye este ciberataque, ha sido acusado por el Departamento de Justicia de los Estados Unidos (DOJ) de extorsionar por más de 115 millones de dólares a empresas en los últimos tres años. Aunque varios de sus miembros enfrentan cargos, el grupo sigue activo y ha amenazado con crear un sitio de filtración para presionar a sus víctimas.