En 2024, el sector turístico en Europa ha visto un aumento del 60% en el número de ciberataques en comparación con el mismo período del año anterior. Este incremento ha sido atribuido a la creciente vulnerabilidad del sector tras la pandemia. Con muchas organizaciones turísticas siendo blanco de ataques debido a la gran cantidad de datos personales y financieros que manejan.
Llega el verano y con la estación, miles de personas en todo el mundo se disponen a disfrutar de unas merecidas vacaciones. Sin embargo, y si no se tiene cuidado, el disfrute se puede tornar en una carga demasiado pesada para el resto del año.
Y es que los ciberdelincuentes también aprovechan estas fechas para “hacer su agosto”. “Son muchas personas las que caen en la trampa de estos ‘cacos’ digitales en diversas estafas” comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security. “Hemos notado un incremento notable, en Europa, de estafas a través de buscadores y gestores de reservas online que son los que, al final, tienen millones de datos de usuarios. Muchos de ellos bancarios” explica Lambert.
Un informe reciente de Phocuswright destaca un aumento del 155,9% en intentos de fraude digital contra compañías de viajes. Estos ataques buscan principalmente información de tarjetas de crédito, datos personales y programas de fidelización. “La sofisticación de estos ataques subraya la necesidad urgente de medidas de seguridad robustas en el sector” matiza Lambert.
Y es que los tipos de ciberataques más comunes en el sector turístico incluyen phishing, ataques DDoS (denegación de servicio distribuida) y ransomware. “Los ataques de phishing son particularmente dominantes, engañando a los empleados para que revelen información confidencial. Sin embargo, el modus operandi de los ataques DDoS son más utilizados para extorsionar a las empresas turísticas. En el caso de el ransomware ha causado interrupciones significativas al cifrar datos y exigir rescates” explica Lambert.
Booking, uno de los portales más atacados
Suena el teléfono, la víctima de la estafa contesta, y al otro lado de la línea el estafador le espeta una alegre noticia: “Ha sido el afortunado ganador de un premio de 800€ en la conocida plataforma de reservas, Booking”. A continuación, le pide que agregue un número a su lista de contactos en WhatsApp “para poder gestionar el premio”. Acto seguido, el estafador cuelga la llamada, dejando a la víctima con la sensación de haber ganado un premio significativo.
Sin embargo, este tipo de llamadas no es más que una trampa diseñada para obtener información personal de los usuarios y posiblemente acceder a sus cuentas o datos sensibles. “Nuestra recomendación es siempre la misma: no agregar números desconocidos a WhatsApp y desconfiar de cualquier llamada que prometa premios o recompensas sin motivo aparente” comenta Hervé Lambert.
Si profundizamos más, los procesos actuales se vuelven incluso más complejos. Del mismo modo que el bien evoluciona, el mal también lo hace. Y en muchos casos, más rápidamente. “No todo se remonta al usuario final. Si no que antes existe una vulneración en las propias marcas hoteleras para robar esos datos de los clientes que les permita ‘personalizar’ más la estafa” comenta Lambert.
Proceso de la estafa
- Los malhechores acceden a los sistemas de información del hotel. Se aprovechan de distintas vulnerabilidades que permiten el acceso no autorizado a la información de la empresa. O bien engañando al personal del hotel mediante ingeniería social.
- Se persigue acceder a la base de datos de clientes del hotel, que hayan reservado mediante la plataforma de Booking o cualquier otra. Una vez localizados, se extraen los datos de contacto, especialmente el correo electrónico y su teléfono.
- El atacante remite un correo o sms a los clientes del hotel, especialmente a los que tengan la fecha de llegada más cercana, aprovechando la “urgencia” por estar cerca el día de la reserva. En el mensaje, se suplanta la identidad de Booking o el hotel, solicitando por motivos de urgencia, overbooking, etc. y se insta a pulsar en un enlace para confirmar la reserva y efectuar el pago por el total de la misma.
- La víctima, al estar en una situación de estrés elevado, suele pulsar el enlace fraudulento y sigue las instrucciones para confirmar y pagar la reserva.
- Finalmente, el pago se remite a una cuenta bancaria del atacante sin dejar rastro de su identidad, y el cliente cuando llega al hotel, se encuentra con la desagradable sorpresa de haber abonado su estancia erróneamente.
Lo mejor para evitar este tipo de estafas: protegerse
“Ante este panorama, desde Panda Security siempre recomendamos a las organizaciones del sector turístico implementar medidas como la autenticación multifactor, la instalación de parches de seguridad y la cautela al usar redes Wi-Fi públicas. Además, es crucial educar a los empleados sobre las mejores prácticas en ciberseguridad para evitar ser víctimas de phishing y otros tipos de fraudes digitales” finaliza Hervé Lambert.