¿Cómo realizan los ciberdelincuentes fraudes en el sector turístico?

Los actores maliciosos emplean técnicas de ingeniería social y malware para realizar fraudes en el sector turístico y estafar a los viajeros

En las últimas semanas, se han hecho públicos múltiples fraudes en el sector turístico que presentan una metodología similar y se han producido en diferentes partes del mundo. Los delincuentes combinan técnicas de phishing y malware para atacar a hoteles y agencias de viaje, obtener sus credenciales de acceso a las principales plataformas de reservas de viajes (Booking, Expedia, eDreams, Hoteles.com…), suplantar su identidad y estafar a los viajeros que han realizado una reserva empleando, de nuevo, técnicas de ingeniería social.

Esta tipología de fraudes en el sector turístico afecta, de diferente forma, a tres tipos de actores:

1. Los hoteles y las agencias de viaje. Los delincuentes buscan hacerse con sus listas de reserva y sus credenciales de acceso a las plataformas con las que trabajan.
2. Las plataformas de reservas de viajes. En cierta forma, podríamos decir que constituyen el medio necesario para que los fraudes en el sector turístico tengan éxito, porque ejercen de mediadoras entre hoteles y viajantes.
3. Las personas que reservan una habitación de hotel. El objetivo final de los delincuentes es estafar a los usuarios finales. ¿Cómo? Suplantando la identidad del hotel o la plataforma para enviarles alertas u ofertas falsas y conseguir que abonen el importe de la habitación de forma inmediata.

Si bien el daño económico directo lo sufren los viajeros, resulta indudable que los fraudes en el sector turístico menoscaban la reputación de las compañías que se ven afectadas y suponen una amenaza cada vez más relevante para un sector clave en muchos países y crítico en el caso de España.

En este artículo, vamos a desgranar las claves de los fraudes en el sector turístico, unos ataques cada vez más sofisticados que combinan tecnología y psicología para estafar a miles de personas en el momento más ansiado del año: sus vacaciones.

1. Selección de los targets de los fraudes en el sector turístico

La base de los fraudes en el sector turístico se asienta sobre las empresas hoteleras y las agencias de viaje. ¿Por qué? Estas compañías son el target primigenio, aunque no sean víctimas directas de la estafa económica.

El ecosistema del turismo es complejo. En países como España, existen miles de hoteles y agencias de viaje y podemos encontrarnos desde potentes cadenas hoteleras internacionales, hasta pequeños hostales que se han digitalizado para poder subsistir. Algunas empresas cuentan con sus propios sistemas de booking integrados en sus páginas web, pero la aplastante mayoría ofrece sus servicios, también, en las principales plataformas de reservas de viaje.

Al igual que sucede en la mayoría de negocios, en el turismo, el principal activo de las empresas es su lista de clientes o, en este caso, de reservas. Y, precisamente, eso es lo que buscan los actores maliciosos.

Gracias a la lista de reservas pueden atacar al eslabón más débil de la cadena: los clientes finales de los hoteles y las agencias de viaje.

Por ello, el target de los delincuentes son los profesionales que gestionan las reservas dentro de las empresas. Al fin y al cabo, para el ataque anteriormente mencionado, de poco sirve lanzar una campaña de phishing contra un profesional de un hotel si este no tiene en su ordenador la lista de reservas o las credenciales de acceso a las plataformas de reservas.

¿Qué tipo de empresas se encuentran en la diana? Ningún hotel o agencia de viajes, aunque su volumen de negocio o su tamaño sea pequeño, puede sentirse a salvo. Hoy en día, con los ciberdelitos creciendo en número, complejidad e impacto es fundamental priorizar la seguridad. Sin embargo, existen dos factores que tienen en cuenta los delincuentes al planificar los fraudes en el sector turístico.

1.1. Ausencia de personalización

En el caso de los hoteles pequeños es más probable que la comunicación entre ellos y sus clientes sea directa y cercana, lo que dificulta el éxito de una campaña de phishing, porque el visitante puede darse cuenta de que un mensaje enviado, teóricamente, por el hotel no es real y sospechar de que está siendo engañado. Además, en caso de que dude de la credibilidad de un mensaje, es más factible que se ponga en contacto de inmediato con el negocio a través de una cuenta de email que sepa que es verídica o llamando directamente.

Por contra, en el caso de los hoteles más grandes la comunicación es impersonal, se gestiona a través de intermediarios y se lleva a cabo por diversos canales: correo electrónico, aplicación de una plataforma de reservas…

De ahí que si el cliente recibe un mensaje por diversas vías con apariencia de ser real se vea menos predispuesto a desconfiar de él.

1.2. Relación coste/beneficio

La relación coste/beneficio es esencial en el ámbito empresarial y también es fundamental para los ciberdelincuentes. En este sentido, los actores maliciosos evalúan la complejidad de tener éxito atacando a una empresa y la contraponen al beneficio potencial que pueden cosechar. A priori, las cadenas hoteleras de mayores dimensiones deberían tener una postura de seguridad más avanzada que minimice el éxito de una campaña de phishing y el despliegue de malware en un equipo corporativo. Pero, por otra parte, también tienen más clientes y reservas, o lo que es lo mismo, el número de víctimas es mayor.

El análisis continuado del comportamiento de los ciberdelincuentes en todos los sectores, nos ha permitido observar que siempre van a por las víctimas más débiles. ¿Por qué? Volvemos a la relación coste/beneficio. Si atacar a una determinada cadena hotelera es más sencillo que impactar en otra similar y los beneficios potenciales son prácticamente idénticos, los delincuentes pondrán en el centro de su diana a la compañía con una posición de seguridad más débil.

2. Técnicas de phishing para atacar a hoteles y agencias de viaje

El phishing supone una de las principales técnicas utilizadas para comprometer tanto a compañías como a sus clientes en la era digital. En su día a día, los profesionales de Tarlogic Security constatan que en la mayoría de ciberataques, sin importar el sector económico, el vector de entrada a las empresas es un componente de ingeniería social, que resulta esencial para que los ataques tengan éxito. Al fin y al cabo, el factor humano sigue siendo el eslabón más débil de la estrategia de seguridad de las compañías.

En lo que respecta a los fraudes en el sector turístico, el lanzamiento de campañas de phishing contra las personas que gestionan las reservas de los hoteles y las agencias es el punto de partida de los ataques.

En primer lugar, los delincuentes llevan a cabo labores de inteligencia para saber qué profesionales están al cargo de las reservas en la empresa que desean atacar. Después, diseñan y ejecutan campañas de phishing para conseguir engañarlos. ¿Cómo? Les envían emails a su cuenta de correo para conseguir que acaben descargando un archivo infectado con un malware o hagan clic en una URL maliciosa.

Por ejemplo, en algunos casos, los delincuentes se hacen pasar por clientes legítimos y emplean excusas como peticiones especiales o problemas de salud específicos para enviar a los profesionales documentos importantes a través de una URL.

3. Despliegue de infostealers para obtener las credenciales de acceso a las plataformas de reserva online

¿Qué sucede cuando los delincuentes consiguen que el profesional que gestiona las reservas haga clic en la URL o se descargue un archivo malicioso? Cuando este se ejecuta se despliega un infostealer. Es decir, un tipo de malware que recolecta las credenciales almacenadas, por ejemplo, en un navegador. Entre estas credenciales se encuentran, claro está, los usuarios y contraseñas que se emplean para acceder a las plataformas de reservas de viajes.

El uso de infostealers, cuya actividad pasa completamente desapercibida para el profesional que trabaja con el equipo atacado, permite a los delincuentes acceder a la lista de reservas y suplantar al negocio dentro de las plataformas de reservas de viajes sin necesidad de controlar el equipo.

3.1. Colarse en las plataformas de reservas sin encontrar una vulnerabilidad

¿Por qué los delincuentes no lanzan sus ataques directamente contra las plataformas de reservas de viajes? Estas empresas tienen una postura de seguridad mucho más avanzada. Lo que implica que descubrir una vulnerabilidad genuina en ellas para poder explotarla resulta mucho más difícil que poner en marcha fraudes en el sector turístico impactando, en primer lugar, en las empresas hoteleras.

Como señalamos antes, la relación coste/beneficio es esencial para los delincuentes a la hora de trazar sus estrategias. Atacar directamente a los sistemas de operadores globales como Booking puede resultar mucho más complejo y, por ende, costoso que lograr comprometer este tipo de plataformas accediendo a ellas a través de credenciales válidas.

3.2. Atacar dispositivos no corporativos

La extensión del teletrabajo y la posibilidad de realizar cualquier acción profesional desde dispositivos personales ha ampliado la superficie de ataque de todas las empresas, no solo de los negocios ligados al turismo.

En muchas ocasiones, las empresas protegen los dispositivos corporativos, como los ordenadores empleados por los profesionales que gestionan las reservas. Sin embargo, el uso de dispositivos personales con fines profesionales o de negocio complejiza la situación y diluye el perímetro de seguridad de las compañías. ¿Por qué? Es posible, por ejemplo, que el profesional que realiza las reservas sincronice su cuenta de Google tanto en su equipo de trabajo como en su móvil personal. De tal manera que si se logra infectar el segundo con un infostealer se puede acceder a las credenciales de acceso a las plataformas de reservas.

A lo largo de los últimos años, los profesionales de ciberinteligencia y Threat Hunting de Tarlogic han podido detectar un elevado porcentaje de empresas comprometidas a través de dispositivos personales de sus trabajadores.

De ahí que sea fundamental regular el uso de equipos no corporativos e instaurar buenas prácticas en materia de ciberseguridad para evitar los fraudes en el sector turístico en particular, y en el conjunto del tejido empresarial en general.

3.3. Fuego amigo o cuando el phishing y el malware no son necesarios

Aunque en este artículo nos estemos centrando en los fraudes en el sector turístico diseñados e implementados por actores externos, no debemos perder de vista que este tipo de actuaciones delictivas pueden ponerse en marcha por parte de actores internos de las empresas. Es decir, profesionales o extrabajadores que tengan una finalidad lucrativa o deseen vengarse de su empresa.

Si un miembro de una plantilla de un hotel o un profesional que ya no forma parte de ella, con motivación para hacer daño puede acceder a la lista de clientes o disponer de las credenciales de acceso de las plataformas no es necesario recurrir al uso combinado de una campaña de phishing y el despliegue de un malware para sustraer esta información crítica.

4. Suplantación de identidad para estafar a los viajeros

Una vez que los actores disponen de las credenciales de acceso a las plataformas de reservas pueden pasar a la siguiente fase de estos fraudes en el sector turístico: suplantar la identidad de hoteles, agencias de viaje e, incluso, plataformas.

Los delincuentes acceden a las plataformas y consultan toda la información de las reservas realizadas a través de ellas (nombre del cliente, dirección de email, fechas de las reservas, productos contratados, importe…). Con este material pueden diseñar una nueva campaña de ingeniería social, pero en esta ocasión las víctimas no son los hoteles o las agencias de viaje, sino sus clientes.

A mayores, debemos tener en cuenta que, al acceder a las plataformas de reserva, los actores hostiles no solo pueden robar información de gran valor, sino que pueden emplear las plataformas para comunicarse directamente con los clientes.

En muchos de los fraudes en el sector turístico que han empleado esta metodología, los delincuentes no solo se ponían en contacto con los viajeros a través de un email, sino que también interactuaban con ellos desde las propias aplicaciones haciéndose pasar por el hotel atacado previamente, lo que dota de una pátina de veracidad a la estafa.

4.1. Alertas y descuentos

El modus operandi de los delincuentes combina una explotación inteligente de la psique humana con pericia técnica para dotar de credibilidad a los mensajes fraudulentos:

• Sensación de premura. Estos fraudes en el sector turístico tienen éxito porque las campañas de ingeniería social apremian a las víctimas a tomar una decisión en el corto plazo. Ya sea aprovechar una oferta, un descuento o solventar un problema.
• Lenguaje adecuado. Si a una persona le llega un email o un mensaje a través de una plataforma que esté mal escrito puede tener dudas sobre su veracidad. Los delincuentes se han sofisticado también a la hora de redactar los mensajes fraudulentos, cuidando el lenguaje para engañar a sus víctimas.
• Apariencia de oficialidad. En los casos de estafas a usuarios que habían efectuado reservas a través de Booking, los delincuentes han enviado a las víctimas emails con una apariencia estética idéntica a las comunicaciones verídicas que se llevan a cabo a través de la plataforma del operador.

Los dos argumentos más comunes usados por los delincuentes para realizar con éxito esta clase de fraudes en el sector turístico son:

• Descuento por pronto pago. Los actores hostiles aprovechan la información sobre las reservas para ofrecerles a los clientes de los hoteles la posibilidad de beneficiarse de un descuento si pagan por adelantado. Esto es posible por la propia dinámica de esta clase de plataformas, en las que en la mayoría de los casos se paga en el alojamiento cuando se realiza el checking.
• Verificar el método de pago. Los delincuentes, suplantando la identidad de los hoteles y de las plataformas, comunican al cliente que se ha producido un problema con la tarjeta bancaria que el cliente incluyó en la reserva. Para evitar que esta se cancele, el cliente debe volver a facilitar el método de pago.

5. Creación de páginas de pago fake

En los casos hasta ahora señalados, los mensajes fraudulentos que se envían a través de email, sms o la plataforma de reservas incluyen una URL que lleva a una página para que la víctima introduzca los datos de su tarjeta de crédito, ya sea para realizar el pago en el momento o para verificar el método de pago.

Por supuesto, estas páginas también son falsas, aunque simulan ser páginas lícitas de las plataformas de reservas, con un nivel de detalle muy elevado. Lo que dificulta que la víctima detecte el engaño en el último paso de estos fraudes en el sector turístico: la realización de cobros fraudulentos que se cargan a las cuentas de las víctimas.

De esta forma, la estafa se habrá completado sin que la víctima sea consciente del engaño en el momento y, sobre todo, sin que el hotel y la plataforma de reservas tengan constancia de que se ha suplantado su identidad para realizar el fraude.

6. Daños reputacionales de los fraudes en el sector turístico

Más allá del daño económico evidente para los viajeros, los fraudes en el sector turístico repercuten negativamente en la reputación de las empresas atacadas. No solo se ve dañada de forma decisiva la relación entre los clientes estafados y las cadenas hoteleras o las agencias de viaje, sino que el daño reputacional se expande al conjunto de clientes potenciales. Al fin y al cabo, si una persona sabe que un determinado hotel ha sufrido un incidente de seguridad, estará menos predispuesta a realizar una reserva en él.

Aunque las plataformas de reservas como la multinacional Booking no sean víctimas directas de estos ataques, su posición central en el proceso de reserva online provoca que sean protagonistas en los fraudes en el sector turístico.

De hecho, como hemos podido ver a lo largo de este artículo, los delincuentes emplean estas plataformas para recabar la información sobre las reservas, comunicarse con los clientes y suplantar su identidad emulando sus comunicaciones vía email e, incluso, imitar su página de pago.

De tal forma que los efectos reputacionales de los fraudes en el sector turístico repercuten en ellas. Puesto que las personas que han sido estafadas tras realizar una reserva en una plataforma de este tipo, asocian irremediablemente al operador con el incidente.

7. ¿Por qué son tan importantes los fraudes en el sector turístico?

85 millones de personas. Según las previsiones, cuando suenen las campanadas y nos estemos comiendo las uvas el 31 de diciembre, España finalizará 2023 habiendo recibido 85 millones de visitantes. A ello hay que sumar que el año pasado el turismo generó casi 160.000 millones de euros y supuso un 12,2% del PIB español. Estas desorbitantes cifras evidencian la importancia del turismo en un país que ofrece a los visitantes de todo el mundo una oferta que conjuga playa, montaña, historia y patrimonio.

Pero el sector turístico no solo es importante en España, sino también en algunos de las economías más potentes del mundo como Estados Unidos, Francia, Japón o Italia.

Las mejoras en materia de movilidad que se han producido a lo largo de las últimas décadas han abaratado y agilizado los viajes. Esto se ha traducido en un aumento exponencial del turismo nacional e internacional.

A lo que debemos sumar el impacto de la digitalización de la sociedad y la economía. Hoy en día, una persona puede comprar un billete de avión en cuestión de segundos desde su smartphone y reservar una habitación de hotel en la otra punta del mundo sin necesidad de ponerse en contacto con él.

Si hay algo que podemos destacar de los ciberdelincuentes es su excelente olfato. No solo huelen la sangre para detectar targets vulnerables, sino que también huelen el dinero. Las cifras del sector turístico lo convierten en un objetivo muy atractivo para los ataques.

Por eso, las empresas ligadas al turismo deben tomarse muy en serio las ciberamenazas y fortificar su perímetro de seguridad y concienciar a sus profesionales de los peligros asociados a la ingeniería social. Está en juego su reputación y su propio modelo de negocio.

8. Cómo fortalecer la seguridad y resiliencia de las empresas turísticas

Los equipos de Ciberinteligencia y Threat Hunting de Tarlogic Security tienen una larga experiencia en la investigación y lucha contra los fraudes en el sector turístico. Gracias a todo el conocimiento acumulado a lo largo del tiempo y al análisis permanente de las técnicas, tácticas y procedimientos que emplean los actores maliciosos, los profesionales de la compañía ofrecen a las empresas del sector uno catálogo de servicios que incluye, entre otros:

• Análisis proactivo del entorno de amenazas con objeto de advertir riesgos, o modificaciones de estos, antes de su materialización.
• Identificación de información o vulnerabilidades que pueden ser explotadas con estos fines.
• Diseño de medidas de mitigación de forma preventiva, evitando que se materialicen los ataques.
• Investigación de fraudes y piratería online.
• Diseño e implementación de entornos honey pot para conocer la magnitud o tipología de actores que pueden estar tras un evento de fraude.
• Seguimiento y prevención del uso ilícito de marca.
• Simulación de campañas de fraude con fines de formación.

8.1. Estrategia empresarial y seguridad

Hoy en día, una persona que viva en Madrid puede reservar una habitación de hotel en Tokio, coger un avión y en un puñado de horas estar haciendo el checking en la capital nipona. La globalización, la mejora de la movilidad y la digitalización han propiciado que podamos viajar como nunca antes en la historia.

Esto supone un sinfín de oportunidades de enriquecimiento personal para los viajeros y de negocio para las empresas del sector turístico. Pero, por desgracia, también provoca que los delincuentes consideren al sector turístico como un nicho de negocio criminal muy atractivo, en el que es posible obtener cuantiosos ingresos atacando a hoteles y agencias, suplantando a las plataformas y estafando a miles de visitantes.

Los fraudes en el sector turístico son cada vez más numerosos y sofisticados. Las grandes plataformas de reservas online, las agencias de viaje, las cadenas hoteleras y demás operadores turísticos deben situar a la ciberseguridad en el centro de su estrategia. De lo contrario se arriesgan a perder clientes, ver dañada su credibilidad y sufrir una significativa merma de ingresos que amenaza la viabilidad de sus modelos de negocio.