2 min de lectura

Qantas esquiva investigación de privacidad tras brecha de 5,7 millones de registros

El Comisionado de Privacidad de Australia dice que una estafa de vishing en 2025 provocó la brecha que afectó a 5,7 millones de clientes de Qantas, pero la aerolínea no violó las normas de privacidad.

Imagen: The Register

Una estafa de soporte técnico desencadenó la masiva brecha de datos de Qantas en 2025, exponiendo información identificable vinculada a 5,7 millones de clientes. Pero el Comisionado de Privacidad de Australia ha concluido que la aerolínea no incumplió sus obligaciones de privacidad y ha decidido no abrir una investigación formal.

En un informe publicado hoy, el regulador dijo que el incidente comenzó cuando un estafador que se hacía pasar por “soporte técnico de Qantas” llamó a un agente del centro de contacto. El atacante convenció al agente de acceder a un sistema CRM y ejecutar pasos supuestamente necesarios para cerrar un ticket de soporte. En lugar de eso, esas acciones vincularon el CRM a una herramienta de extracción de datos, que luego se usó para sustraer registros de clientes.

Qantas ya había dicho que la brecha se debía a un ataque de ingeniería social contra un centro de contacto. El nuevo informe aporta detalles sobre cómo se desarrolló la comprometida y por qué el regulador decidió que la aerolínea había cumplido con los requisitos de los Principios de Privacidad de Australia (APPs).

Recomendado

La IA todavía no reemplazará a los pentesters

El Comisionado determinó que Qantas había:

  • auditado al operador del centro de contacto
  • evaluado la concienciación en seguridad del personal
  • realizado formación obligatoria y periódica sobre el manejo de información personal
  • utilizado controles de acceso basados en roles para proteger los datos
  • programado ejecuciones anuales de eliminación de datos de su CRM

Según el informe, esos pasos fueron suficientes para demostrar que Qantas había tomado medidas razonables para salvaguardar la información personal y para asegurar que el centro de contacto cumpliera con los APPs. El regulador también no encontró problemas con las prácticas de intercambio de datos transfronterizo de la aerolínea.

“Nuestras indagaciones no identificaron omisiones en las medidas que tomó Qantas que, de ser subsanadas, habrían prevenido la brecha que ocurrió en este incidente.”

Informe del Comisionado de Privacidad de Australia

El informe también señala que no había registros que debieran haber sido eliminados o retirados en el momento del ataque. La comisionada Carly Kind dijo que no parecía que Qantas “hubiera podido prever y prevenir razonablemente la brecha en la forma en que ocurrió,” y añadió que el ataque de vishing no habría sido detenido únicamente con controles de acceso basados en roles más estrictos.

Eso puede no poner fin a las consecuencias. El Comisionado podría revisar el asunto, y ya se están llevando a cabo demandas colectivas vinculadas a la brecha. El informe tampoco identifica a los atacantes, aunque analistas han sugerido a Scattered Spider después de que el grupo comenzara a apuntar a la industria de la aviación en las semanas previas al incidente de Qantas.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía The Register

// Sigue leyendo