O incidente, que não comprometeu a segurança dos voos, ocorreu num sistema gerido por um fornecedor externo e já foi comunicado às autoridades competentes.

Segundo um porta-voz da empresa, a violação afetou um repositório de comunicação alojado e administrado por terceiros.

A informação exposta foi descrita como "limitada e não operacional", mas incluía dados pessoais de clientes. Especificamente, os dados comprometidos contêm nomes, apelidos, endereços de e-mail e, em menor medida, números de telefone e números de afiliação ao programa de fidelidade Iberia Club. A companhia aérea garantiu que não foram obtidos "dados completos e utilizáveis de meios de pagamento nem chaves de acesso às contas da Iberia". Embora alguns códigos de reserva para voos futuros tenham sido extraídos, a Iberia afirmou não haver, no momento, evidências de atividade fraudulenta com os mesmos. A empresa contactou os clientes afetados e implementou medidas de segurança adicionais, incluindo um sistema de autenticação de duplo fator para a gestão de reservas. A Iberia reportou o incidente à Unidade Central Operacional da Guarda Civil (UCO), à Agência de Proteção de Dados e ao Instituto Nacional de Cibersegurança (INCIBE) de Espanha. Foi também ativado um número de telefone gratuito para os clientes comunicarem qualquer incidente ou suspeita.