• 2 min de lectura
Qantas evita una investigación de privacidad tras una filtración de 5.7 millones de regist
El Comisionado de Privacidad de Australia afirma que una estafa de vishing causó la filtración de Qantas en 2025, pero la aerolínea no violó las normas de privacidad a pesar de exponer 5.7 millones de

Imagen: The Register
El Comisionado de Privacidad de Australia afirma que una estafa de soporte técnico desencadenó la filtración de datos de Qantas en 2025; sin embargo, la aerolínea no incumplió sus obligaciones de privacidad a pesar de que se expuso información personalmente identificable de 5.7 millones de clientes.
En un informe publicado hoy, el Comisionado dijo que el incidente empezó cuando un atacante que se hacía pasar por «Ayuda de TI de Qantas» llamó a un agente del centro de contacto. El interlocutor instruyó al agente para que accediera a un sistema CRM y realizara pasos supuestamente necesarios para cerrar un ticket de soporte. En lugar de eso, esas acciones vincularon el CRM a una herramienta de extracción de datos, que los atacantes utilizaron luego para desviar registros de clientes.
Qantas ya había dicho que la filtración se debió a un ataque de ingeniería social contra un centro de contacto. El nuevo informe añade que el regulador examinó si la aerolínea cumplía los Principios de Privacidad de Australia (APP, por sus siglas en inglés), que rigen cómo las empresas protegen la información personal, y concluyó que así fue.
Según el informe, Qantas había:
- auditado al operador del centro de contacto
- evaluado la concienciación en seguridad del personal en los meses previos al incidente
- realizado formaciones obligatorias y recurrentes sobre el manejo de información personal
- utilizado controles de acceso basados en roles para proteger los datos
El Comisionado tampoco detectó problemas con las prácticas de intercambio de datos transfronterizo de Qantas. Sobre la retención de datos, Qantas dijo que ejecutaba procesos anuales de eliminación de datos en su CRM y que no había registros que requirieran eliminación cuando ocurrió el ataque.

Recomendado
Bufete de abogados dio al personal una contraseña maestra para todas las cuentas
Nuestras indagaciones no identificaron ninguna omisión en las medidas que tomó Qantas que, de haberse subsanado, habrían evitado la filtración ocurrida en este incidente.
Ese hallazgo llevó al regulador a descartar una investigación formal de privacidad. La comisionada Carly Kind dijo que 'no parece que Qantas pudiera haber previsto y prevenido razonablemente la filtración en la forma en que ocurrió', y añadió que el ataque de vishing no podría haberse detenido reforzando los controles de acceso basados en roles existentes de Qantas.
El caso puede no estar cerrado. El Comisionado podría revisar el asunto, y ya hay demandas colectivas en marcha. El informe tampoco identifica a los atacantes, aunque analistas han vinculado el incidente con Scattered Spider después de que el grupo comenzara a atacar a la industria de la aviación en las semanas previas a la filtración de Qantas.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía The Register


