Everest afirma haber hackeado Iberia, presume poder editar reservas y pide 6 millones de dólares
-
-
Adaptado por
Laura Bravo
Seis millones de dólares: esa es la cantidad que el grupo de ransomware Everest quiere que pague Iberia, la aerolínea española, si no quiere que los datos robados se vendan a terceros. Lo crucial es que el botín parece incluir información de reservas completamente editable.
-
El infame grupo de ransomware Everest se ha atribuido la responsabilidad de hackear Iberia y robar 596 GB de datos internos de la empresa.
-
El grupo también afirma haber tenido "acceso prolongado e ilimitado" a todas las reservas, con la capacidad de verlas y editarlas.
-
Esto es crucial. El propio Everest dice: "Una filtración completa de datos tendría consecuencias catastróficas tanto para los clientes como para la empresa, desencadenando una ola masiva de spam y fraude".
Cuando Iberia notificó a los clientes sobre un incidente de seguridad de datos el domingo pasado, la aerolínea no pintó el panorama completo: la situación parece ser mucho más grave de lo que explicó la aerolínea de bandera española.
En el correo electrónico enviado a los clientes, Iberia afirmó que el incidente fue causado por una vulneración en uno de sus proveedores y que las credenciales de acceso de las cuentas de los clientes no fueron robadas.
🚨Cyber Alert‼️
undefined Hackmanac (@H4ckmanac) November 23, 2025
🇪🇸Spain - Iberia
Iberia Airlines reports a security incident involving unauthorized access to an external provider, exposing customer names, emails, and Iberia Club loyalty IDs.
Sector: Air Transport
Threat class: Cybercrime
Status: Confirmed pic.twitter.com/wFwtBSrfZu
Ahora, sin embargo, el infame grupo de ransomware Everest se ha atribuido la responsabilidad de hackear Iberia y robar 596 GB de datos internos de la empresa.
Capacidad de editar reservas
En su portal de filtración de datos, Everest dice que los datos incluyen nombres de clientes, detalles de contacto, fechas de nacimiento, información de viajes y reservas, datos de tarjetas enmascarados y perfiles de marketing.
El grupo también afirma haber tenido "acceso prolongado e ilimitado" a todas las reservas, con la capacidad de verlas y editarlas. Everest dice además que se ha apoderado de 430 GB de archivos .eml que contienen más de cinco millones de registros.
Esto es crucial. El propio Everest dice: "Basándose en los datos de reservas disponibles en los archivos .eml, la información siguiente puede ser vista y editada".
"Una filtración completa de datos tendría consecuencias catastróficas tanto para los clientes como para la empresa, desencadenando una ola masiva de spam y fraude", añade el ciberdelincuente, afirmando que no filtrará "ni una sola reserva" siempre y cuando Iberia pague 6 millones de dólares.
Según el equipo de investigación de Cybernews, la afirmación de Everest de que ellos —o quienquiera que haya comprado los datos del grupo— pueden editar reservas desde archivos .eml es probable que sea cierta, ya que los archivos .eml se utilizan para almacenar mensajes de correo electrónico, y las aerolíneas suelen incluir una parte significativa de los detalles del vuelo en los emails.
"De hecho, es probable que Everest esté en posesión de muchos detalles relacionados con reservas que mencionan, como referencias de reservas, detalles de vuelos o PII de pasajeros (Información de Identificación Personal)", dijeron nuestros investigadores.
Cuando un usuario quiere gestionar su reserva en el sitio web de Iberia, puede iniciar sesión con su apellido y referencia de reserva o con sus credenciales de cuenta.
De esta manera, Everest puede modificar la información de reservas iniciando sesión mediante referencias de reserva y PII de clientes encontrados en archivos .eml, explicaron los investigadores de Cybernews. En la publicación, Everest también proporciona capturas de pantalla probablemente tomadas del sitio web de Iberia.
Hemos contactado una vez más con el equipo de prensa de Iberia para obtener aclaraciones y actualizaremos el artículo tan pronto como recibamos una respuesta de la aerolínea.
La riqueza del botín le da ventaja a Everest
Para Iberia, la situación significa más problemas. Esto se debe a que otro ciberdelincuente afirmó a mediados de noviembre estar vendiendo 77 GB de datos internos de Iberia por 150.000 dólares.
En la publicación del foro, el ciberdelincuente afirmó que los datos fueron extraídos "directamente de los servidores internos de la aerolínea", y contenían datos técnicos de A320/A321, archivos de mantenimiento AMP, información de motores y otros documentos internos.
Sin embargo, las afirmaciones de Everest (de ser ciertas) podrían causar daños financieros mucho más significativos a Iberia.
Dado que muchas aerolíneas, incluyendo Iberia, incluyen información detallada de reservas y pasajeros en sus emails de confirmación, y dado que gestionar una reserva a menudo requiere solo un apellido y una referencia de reserva, el impacto potencial de esta filtración es mucho más grave de lo que puede parecer a primera vista.
"El acceso a grandes cantidades de archivos .eml permite efectivamente al grupo manipular los itinerarios de los viajeros. Esto le da a Everest ventaja para pedir una compensación significativa de la aerolínea", dijeron nuestros investigadores.
Y hay pocas razones para dudar de que Everest efectivamente se haya apoderado de los datos de Iberia. Aunque las afirmaciones de Everest aún no han sido confirmadas públicamente por la aerolínea, los patrones históricos sugieren un alto nivel de precisión.
El grupo de ransomware —que se cree vinculado a Rusia— fue detectado por primera vez en 2021. Apareció en los titulares tras el ataque de octubre de 2022 contra el gigante de las telecomunicaciones estadounidense AT&T.
Desbloquea más contenido exclusivo de Cybernews en YouTube: