Ciberataque contra Aeroflot del 28 de julio de 2025: análisis exhaustivo del incidente y sus repercusiones

Ciberataque contra Aeroflot del 28 de julio de 2025: análisis exhaustivo del incidente y sus repercusiones

El 28 de julio Aeroflot informó de una falla masiva en sus sistemas internos, posteriormente calificada por la Fiscalía General de Rusia como un ataque informático. A continuación — hechos confirmados por medios rusos que no están bloqueados en el territorio de Rusia.

Cronología de los hechos

  • 21 de julio (aproximadamente) — el sistema de reservas Leonardo sufrió un ataque DDoS, que pudo servir de cobertura para la intrusión de los atacantes en la infraestructura ( Vedomosti).
  • Noche del 27 al 28 de julio — inicio del ataque cibernético principal.
  • 07:40 28 de julio — primera notificación sobre la falla ( RIA Novosti).
  • 11:57 28 de julio — Aeroflot anunció la cancelación de 49 pares de vuelos hacia/desde Moscú ( TASS).
  • 13:08 28 de julio — la Fiscalía General abrió un expediente penal por la parte 4 del artículo 272 del Código Penal de la Federación Rusa ( RIA Novosti).
  • 18:30 28 de julio — el Ministerio de Transporte informó que 54 pares de vuelos (≈ 20 % del horario del día) estaban cancelados; los restantes 206 se realizaban o se preparaban para despegar ( Vedomosti).
  • 20:00 28 de julio — la aerolínea comunicó la cancelación de otras 5 pares de vuelos para el 28 de julio y 7 pares para el 29 de julio ( RIA Novosti).
  • Mañana del 29 de julio — el registro en línea para los vuelos operativos sigue disponible; los datos del horario se actualizan cada 30 minutos ( Vedomosti).

¿Quién atacó?

Los grupos Silent Crow y Cyber Partisans BY se atribuyeron la responsabilidad. Según sus declaraciones, la operación se preparó durante un año ( Vedomosti). En su comunicado se mencionan:

  • ≈ 7 000 servidores físicos y virtuales fuera de servicio;
  • ≈ 22 TB de datos sustraídos;
  • acceso a las estaciones de trabajo de la dirección.

Estas cifras no han sido confirmadas oficialmente; la Fiscalía solo registra el hecho del acceso no autorizado ( Kommersant). Los expertos muestran escepticismo ante las afirmaciones de los atacantes sobre la «destrucción física total» de toda la infraestructura de TI, calificándolo de «o bien un tópico propagandístico, o bien una distorsión deliberada» ( Vedomosti).

Alcance de las consecuencias

  1. Cancelaciones de vuelos. En el 28 de julio se confirmaron 59 pares cancelados (54 pares hasta las 18:30 + 5 pares por la noche). Para el 29 de julio se cancelaron preliminarmente otros 7 pares de vuelos (comunicado del transportista en Telegram).
  2. Pasajeros. Según estimaciones del Ministerio de Transporte, se vieron afectados decenas de miles de personas en el nudo aéreo de Moscú. Cientos de pasajeros quedaron retenidos en el aeropuerto de Sheremétievo, sin posibilidad ni de volar ni de salir libremente de la terminal.
  3. Sistemas de TI. Aeroflot informa de la recuperación por fases de los sistemas de reservas y de registro; no se han dado plazos para la plena restablecimiento del servicio. La recuperación puede llevar desde varias semanas hasta seis meses, y la estabilización completa hasta un año ( Lenta.ru).
  4. Finanzas. Solo en las primeras 24 horas Aeroflot pudo perder al menos 250 millones de rublos ( RBC). Expertos estiman la pérdida total en un rango de 10–50 millones de dólares ( Lenta.ru); considerando todos los gastos de recuperación, las pérdidas podrían alcanzar varios miles de millones de rublos ( RBC).
  5. Filiales. Pobeda sigue operando con normalidad, ya que dispone de una infraestructura de TI separada y menos compleja.

Acciones de la aerolínea y de las autoridades

Aeroflot abrió una línea directa, permitió devolver billetes o reemitirlos sin penalización durante 10 días. El Ministerio de Transporte y Rosaviatsiya están reubicando a los pasajeros en vuelos de las filiales Rossiya y Pobeda ( RIA Novosti). Roskomnadzor afirma que por ahora no se ha confirmado la filtración de datos personales. El primer vicepresidente del comité de TI de la Duma Estatal, Anton Gorelkin, expresó la opinión de que los «hacktivistas» podrían estar al servicio de estados hostiles y pidió responsabilizar no solo a los autores del ataque, sino también a los funcionarios cuya negligencia lo hizo posible ( Vedomosti).

¿Qué sigue?

Queda abierta la cuestión de si los atacantes disponen del volumen de datos que anuncian y si los publicarán. Aeroflot continúa levantar manualmente los servicios críticos, y los reguladores discuten medidas adicionales de protección de la infraestructura de transporte. Los expertos prevén que uno o dos meses se dedicarán a restaurar los sistemas críticos; el resto del tiempo se empleará en ajustar la protección, realizar auditorías, revisar procesos y recuperar la confianza de los clientes ( Vedomosti). Algunos analistas consideran que incluso las pérdidas de un día pueden afectar los dividendos anuales de la compañía.

El artículo se actualiza a medida que se recibe nueva información.

Alt text
article-title

Niko Nepo