Ciberataques en agencias de viajes: estos son los más habituales
Desde clonado de webs hasta suplantación de identidad, y mucha ingeniería social
Publicada 24/05/23Artículo exclusivo para suscriptores Premium
Forma parte de la comunidad de líderes de la transformación positiva de nuestro sector.
Elige el plan que mejor se adapta a ti, y accede a todo nuestro contenido, descárgate nuestras revistas y disfruta de descuentos y otras ventajas en los eventos organizados por Hosteltur.
Así pues, aunque existen muchos ataques que pueden ser estándar para cualquier sector, los cibercriminales han transformado su modo de operar para conseguir mayor penetración en un sector en proceso de digitalización como es el de la distribución de viajes. "Desgraciadamente es la punta de un iceberg que no tiene fin", ha comentado Ferretjans.
- Clonado de webs. Probablemente la estafa más elaborada y difícil de gestionar por parte de las empresas. Copiar una web de reservas o corporativa de una agencia de viajes "puede ser un proceso fácil para los atacantes". Existen aplicaciones que permiten un clonado de cualquier página web, de forma muy sencilla. "El trabajo más técnico es el de intentar desviar el tráfico de las víctimas, hacia la web fraudulenta", ha indicado Ferretjans.
El objetivo primario es conseguir reservas con prepago, mediante una pasarela bancaria hacia una cuenta del atacante. Este último factor, al igual que cualquier pago realizado por phishing (suplantación de identidad), "resulta ser el verdadero peligro de la web fraudulenta, ya que la cuenta de destino es real y operativa", ha precisado. "Este ataque es de difícil, por no decir imposible, detección preventiva por parte de las empresas".
Generalmente se percatan de ello "cuando se presentan los huéspedes al hotel supuestamente reservado, y no disponen de la reserva por ningún canal autorizado". La responsabilidad de indemnizar a los clientes estafados, en un asunto que puede afectar a la reputación ante el cliente, juega un factor muy importante a la hora de gestionar correctamente el incidente. - Suplantación de identidad. Parecido al anterior ataque, el objetivo es suplantar en esta ocasión a una identidad de la agencia de viajes o el touroperador. "El más buscado es el correo de reservas o ventas online, el cual será objeto de un ataque para conseguir sus credenciales o directamente se toma control del servidor de correo de la organización", ha aclarado el experto de Binaura Monlex.
Una vez obtenido el acceso al correo, "casi siempre atacando a un empleado de la empresa", el cibercriminal dialogará con las víctimas para conseguir una venta de cualquier servicio o producto de la empresa. En este caso, se solicitan número de tarjeta de crédito o se facilitan cuentas del banco del atacante para conseguir los ingresos de las víctimas. Su detección es quizá más sencilla, ya que "un buen antimalware profesional puede detectar la suplantación" y, además, la operativa encuentra más barreras hasta el pago final.
"Pensemos en las confirmaciones, llamadas a otros departamentos, etc. que pueden levantar sospechas de un ataque", alerta Xavier Ferretjans. - Ataques de denegación de servicio (DDoS). Al estar tan interconectados con hoteles, canales, channel managers, proveedores o bancos de camas, las agencias de viajes también dependen de que se encuentren en línea y operativas, para poder vender sus productos y servicios. Aquí entran en juego los ataques de denegación de servicio DDoS, que "pueden tener su origen en la propia agencia, como en cualquier otro interviniente en la cadena de valor turística".
En cualquier caso este ataque funciona de la siguiente manera: "el cibercriminal ya dispone de una cantidad muy grande de equipos que ha infectado previamente, todos ellos conectados a internet, que comenzarán a enviar peticiones a un sistema, una red o una web, de forma que se satura y deja de funcionar.
Si van dirigidos a algún servicio concreto, podemos intuir que el ataque ha sido 'patrocinado' por otra empresa o competidor". La consecuencia inmediata es la imposibilidad de venta online y la pérdida de ingresos inmediata. - Ingeniería social. Directamente, es una manipulación de las personas utilizando el componente psicológico. Sin herramientas sofisticadas, ni conocimientos espectaculares de programación, el atacante se sirve de su astucia para engañar a las víctimas. "Las técnicas son infinitas y dependerán de la empresa atacada, ya que no perdamos de vista que el objetivo es conseguir algo valioso, por ejemplo una clave de acceso a software, más información con la que atacar otros objetivos o infectar un equipo", ha destacado Xavier Ferretjans.
En este caso, las técnicas utilizadas pueden ser las siguientes: "Dejar a la vista una memoria USB con virus que infectarán a cualquiera que enchufe el dispositivo a su equipo, ya que la curiosidad es un potente elemento a tener en cuenta por los atacantes; asustar a las víctimas con correos alarmantes que, al final, conseguirán que pulsen un enlace para limpiar su equipo o cambiar sus contraseñas; o bien, hacerse la víctima para conseguir la descarga de un archivo", que puede ser una factura impagada o un documento de reserva. - Ataques a infraestructuras en la nube. Antes hemos hablado de ataques sobre los proveedores o aliados, pero otra modalidad es atacar directamente al corazón de los sistemas de la empresa. "Hoy en día es muy común que las empresas dispongan de todos sus sistemas en la nube (Amazon, Azure, Google, etc.) y eso convierte en una auténtica diana los servicios expuestos a internet", ha asegurado.
"Se pueden combinar ataques como la denegación de servicio, para interrumpir la capacidad de venta o de operaciones, si consiguen el objetivo perseguido. Obviamente muchos servicios en la nube son eminencias en seguridad de la información, pero otros son más vulnerables" y, por tanto, ofrecen mayor riesgo de ser objeto de ataques.
"Aquí la continuidad de negocio es una estrategia importantísima para evitar suspender las operaciones de negocio. Para entendernos mejor, no poner todos los huevos en la misma cesta", ha sentenciado el experto de Binaura Monlex. - Amenazas a smartphones. De nuevo, un factor donde pueden combinarse muchos de los ataques comentados antes. Todo el mundo usa su móvil personal en el trabajo, o bien, lo utiliza para realizar reservas online. Por tanto, "cualquier teléfono infectado por un virus o que se encuentra intervenido por un atacante, es un objetivo más fácil para el cibercriminal".
Si el aparato está conectado a redes de la empresa, se atienden desde él correos corporativos y lleva instaladas aplicaciones de negocio, entonces se considera un potente vector de ataque".
Además, muchas agencias y turoperadores se comunican mediante mensajería instantánea, aumentando todavía más la capacidad de recibir ataques de ingeniería social o verse infectados por archivos corruptos. - Interconexiones poco seguras. Muchísimas interconexiones que se realizan para comprar producto o servicios, por parte de las agencias, se efectúan mediante integraciones entre las empresas. En muchos casos se utiliza para ello un componente llamado API (interfaz de programación de aplicaciones), la cual puede ser pública y al alcance de muchos cibercriminales.
"Si la API es insegura por una deficiente programación o dispone de alguna vulnerabilidad poco conocida, un atacante podría utilizar esta circunstancia para acceder a los sistemas de cientos de empresas que utilicen este componente", ha indicado Xavier Ferretjans.
A este respecto, el experto en ciberseguridad de Binaura Monlex ha precisado que también se puede atacar con el objetivo de impedir la disponibilidad de los servicios interconectados, al igual que un ataque de denegación de servicio.
Más informaciones relacionadas con ciberseguridad:
- Ciberseguridad: las pymes turísticas solo aprenden después de un susto
- Ciberseguridad en turismo: el sector responde a la amenaza
- Los 8 tipos de ciberataques más habituales en hoteles en 2023
- Ataques de 'phishing' en "punta de lanza" amenazan al sector turístico
Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta
Inicia sesiónEsta noticia no tiene comentarios.