Una investigación realizada en junio de 2020 encontró que algunos de las más grandes aerolíneas, cadenas hoteleras y tour operadores del mundo no han logrado neutralizar las fallas de seguridad de sus plataformas, a pesar de haber sufrido ya fugas de datos tras el ataque de ‘ciberdelincuentes’.
Así lo revela un informe publicado por la consultora inglesa Which? en colaboración con la firma tecnológica 6point6. Después de evaluar la ciberseguridad de 98 compañías de viajes, los expertos de 6point6 expusieron cientos de vulnerabilidades en sitios web de aerolíneas, cadenas de hoteles, líneas de cruceros, operadores turísticos y sitios de reserva. Los hallazgos de la investigación se recopilaron en junio de 2020.
Marriott, British Airways y EasyJet figuran entre las cinco empresas con el mayor número de riesgos. De hecho, las tres empresas han sufrido ya violaciones de seguridad cibernética, lo que se tradujo en que la información privada de 350 millones de clientes quedara expuesta en la “dark web”, motivando, además, fuertes multas por parte de las autoridades del Reino Unido (Oficina del Comisionado de Información o ICO).
Para el reporte de Wich? los investigadores examinaron no solo el sitio web de las compañías, sino también todos los dominios y subdominios, incluidos los sitios promocionales y los portales de inicio de sesión de los empleados, en donde cualquier vulnerabilidad puede ser aprovechada por los hackers. No menos importante es que, a diferencia de los ‘ciberdelincuentes’, los investigadores de 6point6 no recurrieron a tácticas sofisticadas de ‘hackeo’, sino que se limitaron a las herramientas legales y disponibles públicamente.
El caso Marriott
Los expertos encontraron 497 vulnerabilidades en los sitios web propiedad de Marriott, 96 de las cuales se etiquetaron como problemas de “alto impacto” y otras 18 como “críticas” (según el sistema de clasificación estándar de la industria). Cabe recordar que Marriott ya fue objeto de dos de las más graves violaciones de datos de la industria de viajes. En 2018 la compañía reconoció que ‘ciberdelincuentes’ habían accedido a 339 millones de registros de huéspedes, mientas que marzo de 2020 se comprometió la información personal de otros 5.2 millones de clientes.
“Informamos de nuestros hallazgos directamente a Marriott, pero dijeron que no tenían ‘ninguna razón para creer’ que los sistemas o datos de sus clientes se habían visto comprometidos”, señaló la publicación de Wich?
El caso EasyJet
Los investigadores descubrieron 222 vulnerabilidades repartidas en nueve de los dominios de EasyJet. Se consideró que dos de estos defectos eran críticos, “uno tan grave que, si se explota, un atacante podría secuestrar la sesión de navegación de un usuario”.
“En respuesta a nuestra investigación, EasyJet desconectó tres dominios y resolvió las vulnerabilidades reveladas en los otros seis sitios”, señala el informe. La aerolínea de bajo costo ya sufrió su una violación de datos en mayo de 2020 que afectó a alrededor de nueve millones de clientes, de los cuales 2200 se relacionaron con datos de tarjetas de crédito.
British Airways
Los expertos identificaron 115 vulnerabilidades potenciales en los sitios web de British Airways, 12 de las cuales se consideraron críticas. La mayoría de estas grietas era de aplicaciones y software que parecían no haber sido actualizados, lo que los hacía vulnerables a los ataques de los hackers.
En su respuesta a la investigación, la aerolínea no mencionó si tomaría medidas para abordar los problemas identificados. “Nos tomamos muy en serio la protección de los datos de nuestros clientes y seguimos invirtiendo fuertemente en ciberseguridad. Contamos con varias capas de protección y estamos satisfechos de contar con los controles adecuados para mitigar las vulnerabilidades”, respondió un portavoz de British.
En 2018 una violación de los sistemas de la aerolínea permitió que los ‘ciberdelincuentes’ se llevaran aproximadamente 500 mil nombres de clientes, direcciones de correo electrónico e información de tarjetas de crédito. La ICO impuso una multa de 230 millones de dólares, la más grande jamás impuesta bajo la ley de Regulación General de Protección de Datos (GDPR) de la Unión Europea, y criticó públicamente los malos protocolos de seguridad del operador.
También American Airlines
Aunque la aerolínea estadounidense no ha sufrido una violación de datos de alto perfil, los investigadores encontraron 291 vulnerabilidades potenciales en sus sitios web, 30 de las cuales fueron de alto impacto y siete críticas.
La investigación encontró que la mayoría de los sitios susceptibles parecían ser los utilizados internamente por sus empleados, aunque había una falla de alto impacto en un sitio web comercial de tarjetas de crédito. Si un atacante obtuviera una contraseña de inicio de sesión, podría alterar el contenido o los sistemas utilizados.
Las conclusiones de la investigación
“Nuestra investigación sugiere que Marriott, British Airways y EasyJet no han aprendido lecciones de violaciones de datos anteriores y están dejando a sus clientes expuestos a ciberdelincuentes oportunistas (…) Las empresas de viajes deben mejorar y proteger mejor a sus clientes de las amenazas cibernéticas, de lo contrario, la ICO debe estar preparada para intervenir con medidas punitivas, incluidas fuertes multas”, afirmó dijo Rory Boland, editor de Viajes de Which?.
