Notificación de información relativa a un incidente de seguridad

(Ataque del gusano Shai-Hulud a la cadena de suministro)

Los días 24 y 25 de noviembre de 2025, la empresa AirHelp Germany GmbH («AirHelp») se vio indirectamente afectada por un ataque del malware Shai-Hulud a la cadena de suministro.

AirHelp no ha encontrado ninguna prueba de que se haya accedido a los datos expuestos o se haya hecho un mal uso de los mismos. El incidente tuvo una duración de unas 24 horas y fue contenido inmediatamente.

Qué ha ocurrido

Como consecuencia del ataque a nivel mundial del malware Shai-Hulud a la cadena de suministro, los token de acceso de GitHub pertenecientes a un desarrollador y a una cuenta de servicio de integración continua y entrega continua (CI/CD) estuvieron expuestos durante un tiempo breve. Como consecuencia, algunos repositorios se volvieron temporalmente accesibles.

Qué datos pueden haberse visto afectados

Debido a la exposición temporal, es posible que se haya accedido a los siguientes datos almacenados en la base de código.

  • Direcciones de correo electrónico (cuentas de clientes, socios y empleados)

  • Un número limitado de nombres de clientes

Se espera que la cantidad final de entradas de datos personales sea baja y no hemos identificado otras categorías de datos afectadas.

Evaluación de riesgos

Dada la naturaleza de los datos (direcciones de correo electrónico y algunos nombres), la breve ventana de exposición, la falta de actividad maliciosa y los hallazgos actuales de nuestra investigación, nuestra evaluación es que el incidente no constituye un gran riesgo para los derechos y libertades de los individuos, en virtud del artículo 34 del RGPD.

Qué ha hecho AirHelp

Inmediatamente tras conocer los hechos, AirHelp:

  • Revocó y alternó todos los tokens expuestos.

  • Aseguró los repositorios afectados.

  • Retiró todo contenido públicamente visible.

  • Realizó escaneos de seguridad, auditorías y medidas preventivas adicionales.

AirHelp ha notificado sobre el incidente a la autoridad de supervisión competente, la Berliner Beauftragte für Datenschutz und Informationsfreiheit, de acuerdo con el artículo 33 del RGPD.

Precauciones recomendadas

Aunque el riesgo sea bajo, recomendamos a los clientes de AirHelp que permanezcan alerta ante intentos de phishing o correos electrónicos poco comunes, y que revisen los ajustes relevantes de seguridad de su cuenta.

Contacto

Si quieres comprobar si tus datos se han visto afectados o si necesitas más información al respecto, ponte en contacto con nosotros, escribiendo a [email protected].