Cuáles son los 6 ciberataques más comunes en aplicaciones de viaje y cómo evitarlos

Luego de la pandemia, el turismo en América Latina reflotó: tuvo una gran recuperación y recibe millones de extranjeros por año que aprovechan los precios más accesibles y los tentadores destinos que tiene. Con esta tendencia se pusieron de moda las apps para vuelos, alojamiento, check-in, así como también los hackeos y las estafas. 

Desde Despegar anunciaron ingresos récord de hasta 700 millones de dólares en 2023 por una mayor demanda en la región. El segmento de reservas online es uno de los más grandes en la industria turística a nivel mundial: el 63% de toda la industria (unos 756 mil millones de dólares anuales). En este sentido, según una encuesta de Appdome, el uso de aplicaciones para esto creció significativamente durante el último año.

Cómo hackean y estafan las apps de viajes

De hecho, en base a los datos de  la Asociación Colombiana de Agencias de Viajes y Turismo (Anato), el número de viajeros que compraron sus tickets en línea aumentó entre el 120% y 125% respecto al 2019, es decir, entre 32,5 y 33,9 millones de pasajeros. Según una investigación de Security Affairs, algunas vulnerabilidades que permiten hackear información personal pueden ser:

• Direcciones particulares
• Números de tarjetas de crédito y cuentas bancarias
• Teléfonos
• Usuarios, contraseñas y tokens de sesión

Los 6 ciberataques más comunes 

“Desafortunadamente, los resultados de estas auditorías de seguridad no son únicos. Son el síntoma de un problema mucho mayor, ya que la mayoría de las apps de Android e iOS carecen de defensas integrales y muchas no tienen protección alguna”, aseguró Alan Bavosa, vicepresidente de Productos de Seguridad. Así, describió 6 amenazas más comunes a tener en cuenta.

Código desprotegido y almacenamiento de datos inseguro

Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje. Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto. Realizan ingeniería inversa para inspeccionar el código fuente y aprender cómo funciona la aplicación, y dónde se almacena la información confidencial. La mayoría de estos datos no están cifrados de forma predeterminada, lo que significa que cualquiera que pueda encontrarlos, puede leerlos.

Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código, lo que dificulta que los atacantes accedan o comprendan el código fuente o lean los datos. También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena. Esto no sólo incluye el entorno limitado de la app, también el propio código fuente, las cadenas de la aplicación, las preferencias, los archivos de recursos, etc.

Ataques dinámicos en tiempo de ejecución

Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan. Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos. Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.

Dado que el pago generalmente se realiza con tarjeta de crédito, los expertos de Appdome recomiendan que las aplicaciones de viajes y reservas implementen protección de seguridad en tiempo de ejecución (RASP), protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente. Dichas protecciones son cruciales para proteger los datos de los titulares de las tarjetas y cumplir con los estándares de la industria PCI DSS, para salvaguardar las transacciones, datos y prevenir el robo de identidad.

Conexiones inseguras y ataques MitM

Los hackers utilizan muchas técnicas para realizar ataques MitM con el fin de interceptar o robar datos, o incluso hacerse pasar por usuarios o servicios confiables. Muchas apps de viajes utilizan versiones inseguras u obsoletas de HTTP o TLS, que carecen de cifrado suficiente o pueden ser susceptibles a vulnerabilidades de seguridad que permitirían ataques de intermediario.

“Los desarrolladores de apps para iOS y Android pueden proteger las conexiones y datos mediante protecciones como la validación de certificados, verificación de CA, detección de proxy malicioso, fijación de certificados y más. El uso de la automatización de la ciberdefensa sin código elimina todo el trabajo pesado de crear e implementar estas protecciones críticas en las apps”, indicó Bavosa.

Malware, ataques de superposición, apps falsas y troyanos

El malware está en constante aumento como arma clave para atacar apps móviles, con técnicas como inyección de claves, method hooking y ataques de superposición para todo tipo de propósitos maliciosos.

En un ataque de superposición, el perpetrador inserta una pantalla falsa que cubre la interfaz de usuario auténtica. Esta táctica tiene como objetivo engañar al usuario para que interactúe con un malware superpuesto, en lugar de con la pantalla real que queda oculta. La superposición maliciosa puede tomar la forma de un botón, un formulario de datos u otra pantalla en una app.

Está diseñado para parecerse o imitar mucho a la interfaz de usuario real y, por lo general, está oculto por el malware superpuesto malicioso controlado por el atacante. Los ataques de superposición a menudo se combinan con otro malware, aplicaciones falsas, troyanos y registradores de pulsaciones de teclas, que mejoran su eficacia para lograr los objetivos del ciberdelincuente.

Jailbreak, rooting y otras escaladas de privilegios

Las apps usan los destinos y fechas específicas en las que planean viajar e incluso su ubicación exacta actual del consumidor para ofrecer servicios. La exposición de estos datos del usuario es una amenaza básica, pero a menudo ignorada.

Jailbreak y rooting son técnicas comunes que utilizan los piratas informáticos para comprometer el sistema operativo y de archivos subyacentes, lo que a su vez les permite atacar la app, incluyendo el acceso o alteración de ubicación GPS específica. Usar jailbreak y protección root es una buena manera de garantizar que la aplicación se ejecute en un entorno seguro.

APIs inseguras

Para ofrecer la mejor experiencia de usuario, las apps de viajes y reservas a menudo se conectan con múltiples sistemas backend y API de terceros, para servicios como procesamiento de pagos, sistema de precios, plataformas de reservas, servicios de puntos de fidelidad y más. Estas conexiones utilizan muchas API internas y externas diferentes, cada uno de los cuales representa un punto de entrada independiente al que puede apuntar un hacker con el objetivo de robar datos valiosos.

Además, las API de backend suelen ser blanco de bots y botnets maliciosos que intentan comprometer las apps mediante ataques automatizados de gran escala, como relleno de credenciales, DDoS y apropiaciones de cuentas (ATO). Para protegerlas, es importante considerar una solución de detección de bots que pueda abordar específicamente las amenazas móviles y que no imponga a los desarrolladores la carga de estar realizando cambios en el código fuente.

“Las aplicaciones de viajes y reservas contienen mucha información sensible y valiosa de millones de consumidores, lo que las convierte en un objetivo atractivo para los ciberdelincuentes. Proteger esta información es una tarea difícil, pero afortunadamente para los desarrolladores, pueden simplificar la defensa de sus apps mediante la automatización. Es una forma integral y automatizada de crear, probar, lanzar y monitorear defensas directamente en el proceso de CI/CD de DevOps”, concluye Bavosa.