«No diríamos que cada mensaje de phishing que observamos fue definitivamente causado por un compromiso directo de los propios sistemas internos del hotel», dice el investigador. Los mensajes de phishing podrían haberse enviado utilizando información de otras violaciones de datos o sistemas no vinculados a la industria de viajes. «El factor común es que los delincuentes están utilizando el contexto de reserva real como arma y empujando a los viajeros a un flujo de verificación o pago falso», dice Corrons.
Corrons dice que Norton no ha podido desentrañar completamente quién podría estar detrás de los ataques, pero dice que las investigaciones están en curso. Quienes envían algunos de los mensajes de phishing parecen estar utilizando kits de phishing diseñados para acelerar y automatizar el proceso de envío y recopilación de información, afirma, y en varios casos se ha utilizado el mismo kit de phishing o infraestructura técnica. La empresa no publica la lista completa de hoteles y alojamientos vacacionales potencialmente comprometidos, afirma Corrons; sin embargo, afirma que la empresa se ha puesto en contacto con Europol sobre sus conclusiones.
Un portavoz de Europol declinó hacer comentarios, diciendo que no discute su actividad operativa.
«Seguimos reforzando nuestras defensas para reducir el riesgo y limitar las oportunidades de que los malos actores apunten a nuestros socios de alojamiento y a nuestros clientes, y estamos viendo resultados», afirma un portavoz de Booking.com.
Cloudbeds dice que la empresa no ha sido vulnerada y que los ataques descritos por los investigadores de Norton son campañas de phishing de credenciales dirigidas al personal del hotel y luego a los clientes. «La razón por la que estas estafas son tan efectivas es que el atacante no adivina: sabe exactamente quién es el huésped, cuándo llegará y cuánto pagó», dice Aaron Ownbey, vicepresidente de ingeniería de Cloudbeds.
Los intentos de piratear hoteles y utilizar datos de clientes para lanzar ataques de phishing existen desde hace años. En toda la industria de viajes, los hoteles suelen utilizar una variedad de software de administración de propiedades o diferentes sistemas que permiten a las personas realizar reservas a través de empresas de terceros. Al mismo tiempo, el personal puede gestionar fácilmente los datos clave y las reservas de los clientes. «La industria hotelera necesita elevar colectivamente la base de seguridad: mejor capacitación para el personal de recepción, una adopción más amplia de autenticación resistente al phishing y controles más estrictos sobre cómo se puede acceder y exportar los datos de los huéspedes desde cualquier plataforma», dice Ownbey.
Es menos probable que los hoteles más pequeños cuenten con las mejores prácticas de seguridad, como la autenticación multifactor para los miembros del personal, dice Don Smith, vicepresidente de investigación de amenazas de la empresa de seguridad Sophos, que ha trabajado con empresas de la industria de viajes.
Por ejemplo, en un incidente manejado por Sophos, un ciberdelincuente envió un correo electrónico a un hotel diciendo que había perdido su pasaporte durante una estadía reciente. En un mensaje de seguimiento, el atacante incluyó un enlace a una fotografía del pasaporte; Sin embargo, cuando se hacía clic, descargaba un archivo que incluía el ladrón de información Vidar, que puede recopilar datos de inicio de sesión de una computadora infectada. Días después de la implementación del malware, se enviaron mensajes fraudulentos a los clientes desde la cuenta de Booking.com del hotel y la gente se quejaba de que habían perdido dinero.
«A los actores de amenazas les encanta el contexto porque hace que un señuelo de phishing sea mucho más atractivo», afirma Smith. «Es muy difícil no simplemente reaccionar y hacer clic en algo para eliminar un elemento de estrés de lo que puede ser una experiencia de viaje estresante».
Corrons, de Norton, dice que la inclusión de información real en los mensajes de phishing puede hacer que sea más difícil determinar qué es legítimo y qué es una estafa. En caso de duda, dice, ponerse en contacto directamente con el hotel o alquiler vacacional a través de otro medio de contacto. «Incluso si los datos del mensaje son reales», dice, «eso no significa que puedas confiar en el mensaje».
