Cabecera blog ciberseguridad

Ciberataques contra compañías aéreas

- Ciber 4 All Team
Los ciberataques contra compañías aéreas pueden provocar cancelaciones de vuelos

En los últimos meses se han producido varios ciberataques contra compañías aéreas que han afectado a su operatividad y causado pérdidas económicas

Cada día surcan el cielo miles de aviones que transportan a millones de personas. El transporte aéreo es fundamental tanto en el plano empresarial y profesional como en el personal y familiar. El intenso tráfico aéreo se intensifica, aún más, durante los meses estivales en los que millones de ciudadanos se van de vacaciones. Por eso, los ciberataques contra compañías aéreas pueden causar un mayor daño durante esta época del año. Y los ciberdelincuentes lo saben bien.

1. Un verano protagonizado por los ciberataques contra compañías aéreas

De hecho, en las últimas semanas se han hecho públicos diversos ciberataques contra compañías aéreas que han afectado a cuestiones tan relevantes como la operatividad de algunas aplicaciones o la protección de los datos personales de sus clientes.

Por ejemplo, a principios de julio de 2025, la compañía australiana Qantas anunció que un ciberataque a una plataforma de terceros usada por un centro de contacto de la aerolínea se había saldado con el robo de datos personales de 5,7 millones de pasajeros.

Unos días antes, WestJet, la segunda aerolínea más importante de Canadá, informó de un incidente de seguridad que había impactado en el acceso a su software y servicios y causado interrupciones y errores en su web y en su aplicación móvil. Posteriormente, se anunció que este ataque también se había saldado con la sustracción de información personal y sobre los viajes de los pasajeros.

Aún más grave fue el incidente sufrido a finales de julio de 2025 por la aerolínea rusa Aeroflot. La compañía tuvo que cancelar decenas de vuelos durante dos días y acumuló retrasos en los viajes que sí pudieron salir. Dos grupos de hacktivistas ucranianos y bielorrusos afirman haber borrado 7.000 servidores de la compañía y haber accedido a información crítica como el historial de vuelos. Si bien, por ahora, el Ministerio de Transportes ruso solo hace referencia a que la compañía sufrió «un fallo en la infraestructura informática».

A continuación, vamos a analizar las claves de los ciberataques contra compañías aéreas y a desgranar qué pueden hacer las aerolíneas para proteger sus activos digitales y su información frente a los ciberdelincuentes.

2. Un sector a la vanguardia tecnológica donde se hacen esfuerzos continuos para garantizar la seguridad de los vuelos

Desde que el Spirit of St. Louis sobrevoló el océano Atlántico para unir Nueva York con Paris, el sector del transporte aéreo ha sido un referente en innovación tecnológica. Año tras año se perfeccionan los aviones y las operativas de vuelo para cumplir con los máximos estándares de seguridad. No por nada, los aviones son el medio de transporte más seguro del mundo.

En la era digital, la seguridad de los aviones pasa, evidentemente, por garantizar que sus sistemas no puedan verse afectados por incidentes de seguridad. Sobre todo, en un contexto geopolítico tan convulso y hostil como el actual con conflictos bélicos en Europa del Este o en Oriente Próximo.

Por eso, las compañías del sector aéreo invierten una gran cantidad de recursos en combatir las ciberamenazas relacionadas con la seguridad de los vuelos.

Por ejemplo, en 2024 se informó de que miles de vuelos con origen o destino en Europa habían sufrido posibles interferencias rusas en el Mar Báltico que había causado problemas de GPS, una tecnología clave en la navegación aérea. Aunque la seguridad de los vuelos no se vio afectada, estos incidentes evidencian la importancia de que las aerolíneas sitúen a la ciberseguridad en el centro de sus estrategias.

3. Buscar una debilidad en la cadena de suministro y engañar a profesionales de las aerolíneas. Así se producen los ciberataques contra compañías aéreas

Junto a los ciberataques contra compañías aéreas que señalamos al inicio de este artículo, debemos mentar otros incidentes recientes que evidencian que el sector está en el punto de mira de grupos delictivos de referencia como Scattered Spider.

Por ejemplo, también hace unas semanas Hawaiian Airlanes sufrió un incidente similar al de Qantas o WestJet, que provocó que algunos sistemas informáticos de la aerolínea quedasen fuera de servicio mientras se respondía al ataque.

¿Qué evidencian los ciberataques contra compañías aéreas que se han producido en los últimos dos meses?

  1. La necesidad de que las aerolíneas fortalezcan su cadena de suministro para evitar que incidentes sufridos por algunos de sus múltiples proveedores desemboquen en costosos ciberataques contra compañías aéreas.
  2. Grupos delictivos como Scattered Spider han puesto al sector aéreo en su diana y son capaces de diseñar e implementar ataques de ingeniería social sofisticados para engañar a los profesionales de las compañías aéreas o a sus proveedores de confianza, saltarse medidas de prevención como la autenticación multifactor y colarse en los sistemas de las aerolíneas para desplegar malware y robar información.

De hecho, el FBI, a raíz de las campañas lanzadas por Scattered Spider, ha alertado de que «cualquier persona dentro del ecosistema de las aerolíneas, incluidos los proveedores y los contratistas de confianza, podría estar en riesgo» de ser víctima de un ataque de ingeniería social que permitiese a los delincuentes colarse en los sistemas de las organizaciones y provocar ciberataques contra compañías aéreas.

El sector aéreo está en el punto de mira de los delincuentes

4. Los datos de los viajeros, un objetivo clave para los actores hostiles

En los ciberataques contra compañías aéreas recientes, los delincuentes no han podido conseguir información crítica como propiedad industrial e intelectual, datos económicos de las compañías o datos financieros de los pasajeros y del personal.

Sin embargo, sí han sido capaces de acceder a datos personales como nombres, direcciones de email y de residencia, teléfonos, fecha de nacimiento e, incluso, datos tan peculiares como las preferencias de comida durante un vuelo.

¿Qué buscan los actores maliciosos al apoderarse de esta información y encriptarla usando ransomware?

  1. Extorsionar a las compañías aéreas exigiendo el pago de un rescate. Por ejemplo, Qantas hizo público que estaba siendo extorsionada tras el incidente que sufrió.
  2. Usar toda la información recabada para lanzar campañas masivas de fraudes contra los viajeros o para venderla en la Dark Web y que sean otros delincuentes quien le saquen partido.

¿Por qué los actores maliciosos están optando por lanzar ciberataques contra compañías aéreas en los últimos meses?

  1. Algunos expertos apuntan a que los proveedores de software relacionado con el sector de la aviación y otros proveedores cuentan con estrategias de seguridad que no son lo suficientemente robustas a la hora de combatir las brechas de datos.
  2. Como señalamos al inicio, nos encontramos en la época del año más crítica para las aerolíneas, de ahí que tenga sentido que los grupos delictivos las consideren un target interesante. Sobre todo, si tenemos en cuenta la gran cantidad de información que manejan.

5. ¿Y qué pasa con los aeropuertos? Si sufren incidentes pueden menoscabar la operatividad de las aerolíneas

Aunque este artículo pone el foco en los ciberataques contra compañías aéreas, no podemos dejar de lado a otra clase de actor clave en el transporte aéreo: los aeropuertos.

Los incidentes de seguridad que sufren los aeropuertos pueden causar cancelaciones y retrasos en vuelos y provocar que las compañías aéreas tengan que realizar offline algunas acciones básicas como el check-in de los pasajeros o la facturación de su equipaje. Esto fue lo que sucedió en 2024 después de que un actor hostil tuviese acceso a los sistemas informáticos del Aeropuerto de Seattle-Tacoma en Estados Unidos.

Más recientemente, el Aeropuerto de Kuala Lumpur en Malasia también sufrió un incidente de seguridad que provocó disrupciones en los sistemas de visualización de información sobre los vuelos o los mostradores de facturación. Los delincuentes, además, exigieron un rescate de 10 millones de dólares
Unas consecuencias similares se registraron en otoño de 2024 en el Aeropuerto de Monterrey en México, donde un ataque de ransomware contra la compañía que lo gestiona provocó disrupciones en el check-in, la revisión del equipaje o las máquinas del parking del aeropuerto.

6. Las consecuencias de los ciberataques contra compañías aéreas

Como sucede en prácticamente cualquier incidente de seguridad exitoso, las consecuencias de los ciberataques contra compañías aéreas son, básicamente, de tres tipos:

  • Económicas. En plenas navidades de 2024, Japan Airlines sufrió un incidente de seguridad como consecuencia de un ataque de denegación de servicio distribuido (DDoS) que provocó retrasos en vuelos e impactó en la compra de billetes para salidas en el mismo día, el funcionamiento de la app móvil de la aerolínea o en su sistema de gestión del equipaje. ¿Cuál es la consecuencia de estas incidencias? Pérdidas económicas directas por billetes que no se han podido vender, billetes que se deben reembolsar e, incluso, el pago de compensaciones. Estas pérdidas son más graves si se tienen que cancelar vuelos, como ha ocurrido en el incidente protagonizado por Aeroflot en julio de 2025.
  • Reputacionales. Los ciberataques contra compañías aéreas deterioran la imagen de marca de las aerolíneas, sobre todo, si su operatividad se ve afectada y si los incidentes tienen como consecuencia la sustracción de información personal de los pasajeros. Cuanta más graves sean las repercusiones de un incidente de seguridad, mayor será el impacto del mismo en la reputación de una aerolínea.
  • Legales. Los ciberataques contra compañías aéreas en los que se roba y exfiltra datos personales de pasajeros o profesionales pueden conllevar la imposición de sanciones económicas en materia de protección de datos si no se tomaron todas las medidas de técnicas y organizativas necesarias para salvaguardar la información. Además, si los datos son empleados en fraudes exitosos, también se pueden producir reclamaciones de indemnizaciones.

Por lo tanto, es de capital importancia que las compañías aéreas refuercen su ciberresiliencia frente a los ataques ante un panorama de amenazas cada vez más complejo y peligroso.

Los ciberataques contra compañías aéreas aumentan en épocas claves del año como el verano

7. Un marco regulatorio cada vez más exigente: NIS2 y el Reglamento de ejecución 2023/203

De hecho, ese es el objetivo de la Directiva NIS2 que busca fortalecer las estrategias de seguridad de las organizaciones que operan en sectores críticos para la economía y la sociedad europeas. El transporte aéreo es uno de estos sectores.

De ahí que la futura Ley de Ciberseguridad, que transpondrá la directiva al marco normativo español, establezca un amplio catálogo de medidas que deben implementar las aerolíneas, entras las que se encuentran:

  • La elaboración de un análisis de riesgo.
  • La gestión de incidentes de seguridad.
  • La gestión de crisis y la recuperación tras un incidente.
  • El fortalecimiento de la seguridad de la cadena de suministro.
  • La gestión de vulnerabilidades.
  • El uso de criptografía y cifrado para proteger la información.
  • El empleo de soluciones de autenticación multifactor y el diseño de políticas de control de acceso.

7.1. La gestión de la seguridad de la información, una cuestión esencial

Junto a la Directiva NIS2, debemos tener en cuenta el Reglamento de ejecución 2023/203 que entra en vigor en toda la Unión Europea el 22 de febrero de 2026. Esta norma establece una serie de obligaciones a los actores del sector aéreo en materia de gestión de riesgos relacionados con la seguridad de la información.

Así, las compañías aéreas deberán cumplir con requisitos como:

  • Contar con un Sistema de gestión de la seguridad de la información (SGSI) de acuerdo a lo establecido en el reglamento de ejecución.
  • Realizar una evaluación de riesgos relacionados con la seguridad de la información e implementar medidas para gestionarlos.
  • Disponer de un sistema interno y de otro externo para notificar cualquier incidente relacionado con la seguridad de la información.
  • Detectar y responder a un incidente que afecte a la seguridad de la información y contar con una política de recuperación tras un incidente.
  • Designar o contratar a los responsables de gestionar la seguridad de la información.
  • Optimizar de forma continua el SGSI.

8. Cómo fortalecer la resiliencia frente a los ciberataques contra compañías aéreas

Tanto el auge de los ciberataques contra compañías aéreas como la puesta en marcha de un marco regulatorio más exigente en materia de ciberseguridad evidencian la importancia crítica que pueden jugar los servicios de ciberseguridad para proteger a las aerolíneas, su modelo de negocio y a los pasajeros. ¿De qué servicios estamos hablando?

  • Auditorías de seguridad continuas que combinen la automatización de búsqueda de vulnerabilidades con el expertise de expertos en ciberseguridad. Estas auditorías deben tener en cuenta toda la infraestructura tecnológica de una organización y el uso de software y dispositivos de terceros.
  • Servicios de gestión de vulnerabilidades para priorizar la remediación de las debilidades encontradas en función de su nivel de criticidad o de la posibilidad de que sean explotadas con éxito.
  • DoS test para prevenir ataques de denegación de servicio distribuido como el sufrido por Japan Airlanes.
  • Test de ingeniería social para formar y concienciar a los profesionales de las compañías y a sus proveedores sobre las técnicas de ingeniería social empleadas por los actores maliciosos.
  • Pentesting para identificar y remediar debilidades que pueden ser explotadas por actores hostiles para acceder de forma indebida a los sistemas de una compañía o robar información empresarial o de clientes.
  • Red Team. Las empresas de gran tamaño como las compañías aéreas pueden someterse a ejercicios de Red Team para comprobar su capacidad de resistir a ataques complejos, formar al personal encargado de la defensa de la organización y optimizar su estrategia de seguridad.
  • Servicios de respuesta a incidentes proactiva. En los ciberataques contra compañías aéreas es fundamental poder actuar desde el segundo 1 para limitar el alcance del incidente, expulsar a los actores maliciosos de los sistemas corporativos, salvaguardar la continuidad de negocio y minimizar las consecuencias económicas, reputacionales y legales.

9. En conclusión

Tras los últimos ciberataques contra compañías aéreas, resulta evidente que el sector se encuentra en el punto de mira de los actores maliciosos.

Además, los requisitos para las aerolíneas en materia de ciberseguridad van a ser más exigentes en el corto plazo.

Por lo que resulta esencial que estas empresas, de vital importancia para la economía y la sociedad, continúen fortaleciendo sus estrategias de seguridad y cuenten con servicios de ciberseguridad avanzados y adaptados a sus necesidades específicas.