La violación de datos de WestJet: cuando 1,2 millones de pasajeros se quedaron expuestos
La aerolínea canadiense WestJet acaba de protagonizar una filtración masiva que ha dejado al descubierto la información personal de aproximadamente 1,2 millones de personas. Y no, no es una cifra pequeña: estamos hablando de prácticamente toda la población de un país como Estonia expuesta de golpe.
El incidente: cronología de un desastre anunciado
Todo comenzó el 13 de junio de 2025, cuando los sistemas de WestJet sufrieron un ciberataque que afectó la disponibilidad de su aplicación y sitio web. Ya sabemos cómo va esto: primero es «estamos experimentando dificultades técnicas» y semanas después llega el correo que nadie quiere recibir.
Esta semana, la compañía finalmente reconoció lo que muchos temíamos: los atacantes no solo interrumpieron servicios, sino que se llevaron datos personales de sus clientes. La notificación llegó a la Oficina del Fiscal General de Maine, confirmando que 1,2 millones de personas resultaron afectadas.
Y aunque WestJet haya tardado varias semanas en confirmar el alcance del incidente (algo bastante habitual en estos casos, para qué engañarnos), lo cierto es que la magnitud de los datos comprometidos es considerable.
Los datos comprometidos: mucho más que un nombre y un email
Cuando hablamos de violaciones de datos, lo importante no es solo cuánta gente está afectada, sino qué información se ha filtrado. Y en este caso, es bastante delicada:
- Nombres y direcciones
- Fechas de nacimiento
- Detalles de identificación emitidos por el gobierno
- Información relacionada con necesidades de viaje
- Solicitudes de alojamiento
- Historial de quejas
Para los miembros del programa de fidelización WestJet Rewards, la cosa va más allá, incluyendo su número de identificación, saldo de puntos y otra información de cuenta.
Y ojo a esto: si eres titular de una tarjeta WestJet RBC Mastercard, RBC World Elite Mastercard o RBC World Elite Mastercard for Business, también podrían haberse visto comprometidos datos como el tipo de identificador de tarjeta de crédito y los cambios en el saldo de puntos.
Lo que no se llevaron (por fortuna)
WestJet ha querido tranquilizar a sus clientes afirmando que ciertos datos críticos no fueron comprometidos:
- Números de tarjetas de crédito o débito
- Fechas de vencimiento
- Códigos CVV
- Contraseñas de usuarios
Aunque esto es un alivio, no minimiza la gravedad de la situación. Los datos robados siguen siendo suficientes para intentar ataques de phishing personalizados o incluso casos de suplantación de identidad.
Medidas de respuesta: ¿suficientes o tiritas en una herida profunda?
Como suele ocurrir en estos casos, WestJet ha implementado el paquete estándar de respuesta ante violaciones de datos: 24 meses de monitoreo gratuito, protección contra robo de identidad y servicios de asistencia antifraude proactiva para los afectados. Estos servicios incluyen un seguro de reembolso de gastos de hasta 1 millón de dólares.
Es el típico movimiento del manual de crisis corporativo, pero seamos sinceros: ¿cuánta gente realmente activa estos servicios? Y más importante aún, ¿cuántos datos pueden acabar filtrándose en la dark web mientras tanto?
El lado oscuro: ¿extorsión o simple robo de datos?
Lo que resulta intrigante es que WestJet no ha revelado la naturaleza exacta del ciberataque. No sabemos si se trató de ransomware, si los hackers intentaron extorsionar a la compañía o si simplemente robaron los datos para venderlos posteriormente.
Hasta ahora, ningún grupo de ransomware conocido ha reclamado responsabilidad por el incidente, lo que añade una capa de misterio al asunto. Podríamos estar ante un ataque dirigido específicamente a obtener datos de viajeros internacionales, algo que tiene un valor considerable en ciertos mercados.
Implicaciones para los viajeros: no eres solo tú
Uno de los aspectos más preocupantes de este breach es su efecto dominó. Como la propia WestJet ha advertido a sus clientes: «Si tu información de viaje está vinculada a otras personas (como familiares u otras personas que viajan con el mismo número de reserva), es posible que desees informarles sobre el incidente».
Esto significa que incluso personas que nunca contrataron directamente con WestJet podrían estar expuestas. Piénsalo: si reservaste un viaje familiar, los datos de todos tus acompañantes podrían estar comprometidos.
Cómo protegerse tras una exposición de datos
Si eres uno de los afectados (o crees que podrías serlo), estos son algunos pasos que deberías considerar:
- Activa los servicios de monitoreo ofrecidos por WestJet
- Cambia tus contraseñas en servicios relacionados con viajes
- Revisa regularmente tus estados de cuenta bancarios
- Mantente alerta ante comunicaciones sospechosas que mencionen WestJet
- Considera congelar tu crédito si notas actividad inusual
El contexto más amplio: un patrón preocupante
Este incidente de WestJet no es un caso aislado. Como mencionamos al inicio, forma parte de un patrón preocupante de violaciones de datos que han afectado a millones de personas en los últimos meses.
En el mismo periodo, hemos visto:
- 766,000 personas afectadas por una filtración en Motility, proveedor de software para concesionarios
- Ciberdelincuentes que afirman haber robado datos de clientes de Oracle E-Business Suite
- 1,5 millones de personas impactadas por una violación de datos en Allianz Life
Estos números ya no son la excepción, sino la regla. Y mientras las empresas siguen tratando estas filtraciones como incidentes aislados, la realidad es que estamos ante un problema sistémico.
Lo peor de todo es que ocurre precisamente durante el Mes de Concientización sobre Ciberseguridad 2025, cuyo tema es priorizar la identidad para salvaguardar la infraestructura crítica. La ironía no podría ser más evidente.
En definitiva, este caso de WestJet es un recordatorio de que nuestros datos personales siguen siendo el petróleo del siglo XXI. Y como con el petróleo, los derrames ocurren con demasiada frecuencia y sus consecuencias pueden durar mucho más tiempo del que imaginamos.
