Era una mañana tranquila en los centros de operaciones de Hawaiian Airlines, WestJet y Qantas. Los paneles brillaban con cifras de vuelos, conexiones globales y horarios que parecían inalterables. Pero en silencio, desde un rincón invisible del ciberespacio, algo ya se había infiltrado: el grupo de ciberdelincuentes Scattered Spider acababa de irrumpir en la aviación comercial global.
En cuestión de horas, los equipos de IT de las tres aerolíneas comenzaron a detectar actividad anómala. Inicios de sesión en horarios inusuales, cambios de credenciales sin autorización y solicitudes sospechosas a las mesas de ayuda. El enemigo estaba dentro, sin necesidad de forzar puertas digitales. Como tantas veces antes, Scattered Spider no usó malware sofisticado ni exploits técnicos complejos. Usó algo más simple, pero igual de efectivo: la identidad humana y sus debilidades.
Un enemigo metódico con alas propias
Scattered Spider no es un grupo improvisado. Es una organización delictiva que ya ha causado estragos este año en empresas como Marks & Spencer, Harrods, Cartier, Adidas y Victoria’s Secret, así como en aseguradoras como Aflac y Philadelphia Insurance Companies. Se les atribuye el ciberataque que provocó una de las mayores disrupciones operativas del retail británico en los últimos años, con pérdidas que en el caso de M&S superaron los 300 millones de libras esterlinas.
Hoy, ese mismo grupo ha dirigido sus esfuerzos a un sector aún más crítico: las aerolíneas. Y lo que están haciendo no es solo hackear sistemas, sino poner en jaque el mismo concepto de confianza digital que sustenta la operación diaria de millones de vuelos.
Anatomía de un ataque alado
Las tácticas de Scattered Spider son una lección de ingeniería humana más que informática. Todo comienza con una fase de reconocimiento avanzado. Utilizando bases de datos filtradas, redes sociales y foros clandestinos, recaban información tan detallada como números de seguro social, direcciones personales y nombres de familiares de los empleados. Este conocimiento, sumado a suplantaciones cuidadosamente diseñadas, les permite burlar los sistemas de soporte técnico, muchas veces tercerizados y saturados de tickets.
“Los centros de ayuda son el talón de Aquiles de muchas empresas”, advierte Austin Larsen, analista de amenazas en Google Mandiant. “Son atendidos por agentes que siguen guiones y protocolos que los atacantes conocen mejor que ellos”.
Una vez que logran engañar a un operador para que restablezca un acceso o cambie un número asociado, ejecutan su siguiente jugada: el intercambio de SIM. Con esta técnica, transfieren el número telefónico de la víctima a una SIM bajo su control. ¿El objetivo? Interceptar códigos de autenticación enviados por SMS y romper la última barrera de seguridad: la autenticación multifactor (MFA).
Una vez dentro, el acceso inicial se convierte en un pasaje directo al núcleo del sistema. Escalan privilegios, implantan ransomware, exfiltran información sensible y dejan una estela de caos que puede durar meses. Como bien señala el FBI, no sólo están en la mira las aerolíneas, sino todo su ecosistema: proveedores, contratistas, centros de atención, IT subcontratado.
El fracaso de la autenticación tradicional
Durante años, el concepto de autenticación multifactor fue presentado como la mejor defensa frente a los accesos no autorizados. Pero los ataques de Scattered Spider han expuesto su vulnerabilidad más crítica: el factor humano.
La mayoría de los sistemas MFA se basan en secretos compartidos: contraseñas, preguntas de seguridad o códigos de un solo uso (OTP). Pero si esos secretos pueden ser robados, interceptados o manipulados con ingeniería social, el sistema falla. Y eso es exactamente lo que está ocurriendo.
La realidad actual no permite preguntarse “si” una aerolínea será atacada, sino “cuándo”. Por eso, muchas organizaciones están abandonando los métodos tradicionales y migrando a tecnologías de autenticación que no dependen de lo que el usuario sabe o tiene, sino de quién es.
iProov: la defensa biométrica de alta confianza que frena a Scattered Spider
Frente a esta nueva generación de ciberataques, iProov ha emergido como una pieza clave en la protección del sector aéreo y otras industrias críticas. Su tecnología de autenticación biométrica facial con detección de vida está cambiando la forma en que las organizaciones validan identidades, particularmente en momentos de alto riesgo como el restablecimiento de contraseñas o el acceso a sistemas sensibles.
iProov no se basa en contraseñas ni en números de teléfono vulnerables, sino en el rostro real, único y vivo de cada usuario, detectado en tiempo real. Esta innovación no solo evita ataques por SIM swapping, sino que es inmune a la ingeniería social y resistente incluso a intentos de suplantación con inteligencia artificial.
En concreto:
- El intercambio de SIM pierde todo su poder: al vincular el acceso a la biometría facial, iProov elimina cualquier dependencia del teléfono o el dispositivo.
- No hay secretos que robar: los empleados ya no usan contraseñas ni OTPs, por lo que no pueden ser engañados.
- La tecnología detecta deepfakes y videos falsos: la verificación de vitalidad en tiempo real impide que incluso los modelos de IA más avanzados suplanten a un ser humano real.
Además, iProov Workforce MFA no solo ofrece una protección sin precedentes, sino que lo hace con una experiencia fluida y eficiente para el usuario final, algo vital en entornos de alta presión como los aeropuertos y centros de operaciones de vuelo.
Volando hacia una nueva ciberdefensa
Las aerolíneas son más que transportistas: son arterias vivas del comercio, la movilidad humana y la economía global. El hecho de que Scattered Spider haya puesto sus ojos sobre ellas no es coincidencia, sino una evolución lógica de una estrategia de ataque que busca impacto y visibilidad global.
Hoy, más que nunca, la seguridad no puede recaer únicamente en la tecnología tradicional. Debe centrarse en la identidad real del individuo. En proteger no solo los sistemas, sino la esencia misma de quienes los operan.
iProov lidera esta nueva era de autenticación resistente al phishing, aportando la capa de confianza que tanto necesitan las organizaciones para sobrevivir en un entorno donde los ataques ya no son una posibilidad, sino una certeza.
El mensaje es claro: no hay ciberseguridad sin identidad. Y en esta nueva era de amenazas persistentes, invisibles y humanas, la pregunta no es si tenemos firewalls o MFA, sino si podemos asegurar que quien accede es realmente quien dice ser.
Gracias a soluciones como las de iProov, el sector aéreo tiene una nueva oportunidad de volar seguro, incluso en tiempos de tormenta digital.
