El grupo Scattered Lapsus$ Hunters cumplió su amenaza y publicaron en la dark web los datos personales de más de cinco millones de clientes de la aerolínea, marcando uno de los mayores incidentes de ciberseguridad en la historia de Australia.
Qantas Airways confirmó que los datos personales robados durante un ciberataque ocurrido a mediados de 2025 fueron finalmente publicados por cibercriminales en la dark web, lo que transforma el incidente en uno de los más graves registrados en Australia y en la industria aérea.
La filtración, atribuida al grupo Scattered Lapsus$ Hunters, afectó a unos 5,7 millones de clientes de la aerolínea y forma parte de una serie de ataques que comprometieron a más de 40 compañías globales, incluidas Disney, Toyota, IKEA y FedEx.
El ataque se originó a través de una plataforma de terceros utilizada por Qantas, vinculada al proveedor tecnológico Salesforce, y fue detectado el 30 de junio de 2025. Aunque en un primer momento la aerolínea aseguró que no existían pruebas de que la información se hubiera hecho pública, los atacantes cumplieron su amenaza tras vencer el plazo del rescate. “Don’t be the next headline, should have paid the ransom” (no seas el próximo titular de prensa, deberías haber pagado el rescate), publicaron los cibercriminales en un foro delictivo, después de que Salesforce se negara a pagar la extorsión.
La información expuesta incluye nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, direcciones postales y números de viajero frecuente. En algunos casos también figuran género y preferencias de comida de los pasajeros. Qantas insistió en que no se vieron comprometidos los datos financieros, números de pasaporte ni contraseñas de las cuentas. Sin embargo, los expertos advierten que incluso esos datos parciales pueden ser aprovechados en fraudes e intentos de robo de identidad.
Tras la publicación de los datos, Qantas obtuvo una orden judicial del Tribunal Supremo del estado de Nueva Gales del Sur de Australia, que prohíbe el acceso, uso o difusión de la información robada.
Australia es un país que en los últimos años ha sido golpeado por incidentes de gran escala como los de Optus, Medibank y MediSecure, -alguno de los cuales hemos seguido en este blog- y que afectaron a millones de personas entre 2022 y 2024. De acuerdo con la Oficina del Comisionado de Información de Australia, en 2024 se reportaron 1.113 brechas de datos, un aumento del 25 % respecto del año 2023.
Mientras tanto, Qantas trabaja junto a la Policía Federal Australiana y el Centro Australiano de Ciberseguridad para contener los efectos del ataque y ofrecer asistencia a los clientes afectados. La aerolínea habilitó una línea de ayuda 24/7 y servicios de protección de identidad, además de reforzar su monitoreo de sistemas. “Seguimos comprometidos con la seguridad de nuestros clientes y con mejorar nuestros mecanismos de detección y respuesta”, señaló un portavoz de la empresa.