Iberia ha confirmado que este sábado 23 de noviembre de 2025 se produjo un acceso no autorizado a un repositorio gestionado por un proveedor tecnológico externo, lo que ha derivado en la exposición de datos personales de clientes. Entre la información comprometida se incluyen nombres, apellidos, direcciones de correo electrónico y, en menor medida, números de teléfono, aunque la aerolínea asegura que no se han visto afectadas contraseñas ni datos completos de tarjetas bancarias.
El incidente no se originó en los sistemas centrales de Iberia, sino en la infraestructura de un tercero, realzando la importancia de los riesgos asociados a la cadena de suministro tecnológica. Tras detectar la brecha, la compañía notificó el hecho a la Agencia Española de Protección de Datos (AEPD) y a la Unidad Central Operativa (UCO) para su investigación, al tiempo que comunicó formalmente la situación a los clientes afectados y difundió información a través de medios como Cinco Días, Cadena SER y 20 Minutos, asegurando transparencia y coordinación en la gestión del incidente.
"Estimado Cliente, el motivo de esta comunicación es informarle de que, lamentablemente, en Iberia Líneas Aéreas de España hemos detectado un incidente de seguridad relacionado con un acceso no autorizado a los sistemas de un proveedor de Iberia, que ha comprometido la confidencialidad de ciertos datos. A pesar de las medidas de seguridad implementadas por Iberia, hemos tenido evidencias de un acceso no autorizado a ciertos datos personales de parte de nuestros clientes, entre los cuales se podrían encontrar algunos de los suyos. La investigación en el momento actual refleja que podrían haberse filtrado datos como el nombre, apellidos o correo electrónico", indica el mensaje que han recibido los afectados.
Iberia ha confirmado que, pese a la exposición de datos personales de clientes, no se ha producido ninguna afectación a sus operaciones de vuelo ni a la seguridad de su infraestructura de red. Algunos códigos de reserva podrían haber quedado parcialmente expuestos, pero hasta el momento no se ha detectado un uso fraudulento de esta información. No obstante, el incidente representa un riesgo reputacional significativo y un coste potencial elevado para la compañía, ya que exige recursos adicionales para la gestión del incidente, auditorías internas y refuerzo de controles preventivos.
Adicionalmente, Iberia ha cumplido con sus obligaciones legales al notificar la brecha a la AEPD, mientras la UCO investiga el origen del acceso no autorizado. Para evitar riesgos similares, Iberia ha prometido reforzar laa seguridad en sus contratos con proveedores y terceros.
Medidas de seguridad adoptadas por Iberia
Tras este suceso, desde la compañía aérea Iberia se han implementado de manera inmediata una serie de acciones destinadas a contener el impacto del incidente:
- Han presentado una denuncia formal ante la Unidad Central Operativa de la Guardia Civil (UCO), la Agencia de Protección de Datos (AEPD), según el reglamento de protección de datos (RGPD), y el Instituto Nacional de Ciberseguridad (INCIBE).
- Han reforzado el proceso de cambio de correo asociado a las cuentas, de esta manera, actualmente se requiere un código de verificación adicional.
- Se está llevando a cabo una monitorización exhaustiva de los sistemas para detectar actividades sospechosas.
- Desde Iberia se está trabajando junto con el proveedor afectado para solventar está brecha con el menor impacto posible y mejorando las medidas de seguridad existentes para procurar que no vuelva a ocurrir.
Riesgos y causas observadas
El incidente ocurrido en la compañía aereá española evidencia los posibles riesgos que provienen de la cadena de suministro tecnológica. Las posibles causas identificadas son:
- Causa principal: proveedor comprometido, lo que evidencia un riesgo en la cadena de suministro tecnológica.
- Causas secundarias: campañas de phishing con datos preexistentes, suplantación mediante SIM‑swap o mensajes dirigidos con información personal.
Se recomienda a otras empresas auditar sus integraciones con terceros y revisar credenciales y accesos de proveedores.
Qué pueden hacer los clientes afectados
Iberia recomienda las siguientes medidas de seguridad a sus clientes:
Para reducir la probabilidad de fraude o suplantación, Iberia sugiere a los clientes:
- Vigilar correos y comunicaciones entrantes en busca de phishing o intentos de suplantación.
- No responder ni proporcionar códigos, contraseñas o datos sensibles a remitentes no verificados.
- Activar la autenticación de dos factores (2FA) en cuentas de correo, de viajes y bancarias.
- Reportar comunicaciones sospechosas al servicio de atención al cliente de Iberia: +34 900 111 500.
Medidas de seguridad adicionales:
Adicional a las medidas de seguridad comunicadas por Iberia, desde el portal de ciberseguridad de Castilla-La Mancha recomendamos adoptar las siguientes medidas de seguridad:
- Cambiar la contraseña de las cuentas de Iberia, si dispone de alguna, y otras plataformas donde se use la misma contraseña. Al haber sido filtrados tus datos, esto hará más difícil a un atacante utilizarla para cometer delitos.
- Revisar los movimientos en cuentas financieras vinculadas y notificar al banco si se detecta actividad sospechosa.
- Activar alertas de inicio de sesión en servicios críticos para recibir notificaciones ante accesos desde ubicaciones o dispositivos desconocidos.
- Egosurfing. Revisar la configuración de privacidad de cuentas online y limitar la exposición pública de información personal que pueda ser utilizada para phishing.
- Registrar los incidentes. Si te llega algún correo sospechoso que solicite urgencia o con enlaces extraños, guárdalo, para reportarlo como fraude posteriormente.
- En entornos empresariales, bloquear dominios sospechosos, rotar credenciales de terceros y revisar permisos de acceso.
Fuente. https://cincodias.elpais.com/
