Los 6 ciberataques más comunes contra apps de viaje

A medida que la industria turística se recupera tras la pandemia, más reservas online desde aplicaciones móviles atraen a hackers y sus estafas.

La industria del turismo en América Latina vive una importante recuperación tras la pandemia. El mundo está haciendo las maletas, con millones listos para viajar nuevamente a visitar las maravillas de la región. Como una tendencia mundial, cada vez más viajeros utilizan apps desde sus smartphones, en lugar de sitios web, para reservar vuelos y alojamiento, hacer check-in, compartir actividades e incluso comprar cosas. Sin embargo, a medida que la industria crece, los hackers y estafadores también seguirán el dinero.

Recientemente la plataforma de reservas Despegar anunció ingresos récord de entre 640 y 700 millones de dólares durante 2023 por una mayor demanda en América Latina.

El segmento de reservas de viajes online es uno de los más grandes en la industria turística a nivel mundial. Representa el 63% de toda la industria, aproximadamente 756 mil millones de dólares anuales. Específicamente, el uso de apps de viajes y transporte creció significativamente durante el último año, según la encuesta de expectativas del consumidor de Appdome.

Datos de  la Asociación Colombiana de Agencias de Viajes y Turismo (Anato),  con base en cifras de la Aeronáutica Civil sobre la reactivación de viajes nacionales en el 2022, se concluyó que el número de viajeros que compraron sus tiquetes en línea aumentó entre el 120% y 125% respecto al 2019, lo que representa un crecimiento entre 32,5 y 33,9 millones de pasajeros.

Investigadores en seguridad del portal Security Affairs realizaron auditorías en las principales app para reserva de viajes y encontraron vulnerabilidades que permitirían a los hackers acceder a datos confidenciales e información personal, como direcciones particulares, números de tarjetas de crédito y cuentas bancarias, teléfonos, usuarios, contraseñas y tokens de sesión, todo lo cual podría representar un riesgo tanto financiero como físico.

“Desafortunadamente, los resultados de estas auditorías de seguridad no son únicos. Son el síntoma de un problema mucho mayor, ya que la mayoría de las apps de Android e iOS carecen de defensas integrales y muchas no tienen protección alguna”, dice Alan Bavosa, Vicepresidente de Productos de Seguridad de Appdome. «La buena noticia es que los desarrolladores de dispositivos móviles pueden utilizar automatización para la defensa de aplicaciones móviles y resolver muchos de estos problemas de una sola vez.»

El experto en ciberseguridad describe las 6 amenazas más comunes con las que hackers comprometen las apps de viajes, y comparte recomendaciones sobre cómo los equipos de desarrollo pueden mantener seguras sus aplicaciones.

1. Código desprotegido y almacenamiento de datos inseguro

Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje. Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto. Realizan ingeniería inversa para inspeccionar el código fuente y aprender cómo funciona la aplicación, y dónde se almacena la información confidencial. La mayoría de estos datos no están cifrados de forma predeterminada, lo que significa que cualquiera que pueda encontrarlos, puede leerlos.

Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código, lo que dificulta que los atacantes accedan o comprendan el código fuente o lean los datos. También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena. Esto no sólo incluye el entorno limitado de la app, también el propio código fuente, las cadenas de la aplicación, las preferencias, los archivos de recursos, etc.

2. Ataques dinámicos en tiempo de ejecución

Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan. Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos. Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.

Dado que el pago generalmente se realiza con tarjeta de crédito, los expertos de Appdome recomiendan que las aplicaciones de viajes y reservas implementen protección de seguridad en tiempo de ejecución (RASP), protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente. Dichas protecciones son cruciales para proteger los datos de los titulares de las tarjetas y cumplir con los estándares de la industria PCI DSS, para salvaguardar las transacciones, datos y prevenir el robo de identidad.

3. Conexiones inseguras y ataques MitM

Los hackers utilizan muchas técnicas para realizar ataques MitM con el fin de interceptar o robar datos, o incluso hacerse pasar por usuarios o servicios confiables. Muchas apps de viajes utilizan versiones inseguras u obsoletas de HTTP o TLS, que carecen de cifrado suficiente o pueden ser susceptibles a vulnerabilidades de seguridad que permitirían ataques de intermediario.

“Los desarrolladores de apps para iOS y Android pueden proteger las conexiones y datos mediante protecciones como la validación de certificados, verificación de CA, detección de proxy malicioso, fijación de certificados y más. El uso de la automatización de la ciberdefensa sin código elimina todo el trabajo pesado de crear e implementar estas protecciones críticas en las apps”, explica Bavosa.

4. Malware, ataques de superposición, apps falsas y troyanos

El malware está en constante aumento como arma clave para atacar apps móviles, con técnicas como inyección de claves, method hooking y ataques de superposición para todo tipo de propósitos maliciosos.

En un ataque de superposición, el perpetrador inserta una pantalla falsa que cubre la interfaz de usuario auténtica. Esta táctica tiene como objetivo engañar al usuario para que interactúe con un malware superpuesto, en lugar de con la pantalla real que queda oculta. La superposición maliciosa puede tomar la forma de un botón, un formulario de datos u otra pantalla en una app.

Está diseñado para parecerse o imitar mucho a la interfaz de usuario real y, por lo general, está oculto por el malware superpuesto malicioso controlado por el atacante. Los ataques de superposición a menudo se combinan con otro malware, aplicaciones falsas, troyanos y registradores de pulsaciones de teclas, que mejoran su eficacia para lograr los objetivos del ciberdelincuente.

5. Jailbreak, rooting y otras escaladas de privilegios

Las apps usan los destinos y fechas específicas en las que planean viajar e incluso su ubicación exacta actual del consumidor para ofrecer servicios. La exposición de estos datos del usuario es una amenaza básica, pero a menudo ignorada.

Jailbreak y rooting son técnicas comunes que utilizan los piratas informáticos para comprometer el sistema operativo y de archivos subyacentes, lo que a su vez les permite atacar la app, incluyendo el acceso o alteración de ubicación GPS específica. Usar jailbreak y protección root es una buena manera de garantizar que la aplicación se ejecute en un entorno seguro.

6. APIs inseguras

Para ofrecer la mejor experiencia de usuario, las apps de viajes y reservas a menudo se conectan con múltiples sistemas backend y API de terceros, para servicios como procesamiento de pagos, sistema de precios, plataformas de reservas, servicios de puntos de fidelidad y más. Estas conexiones utilizan muchas API internas y externas diferentes, cada uno de los cuales representa un punto de entrada independiente al que puede apuntar un hacker con el objetivo de robar datos valiosos.

Además, las API de backend suelen ser blanco de bots y botnets maliciosos que intentan comprometer las apps mediante ataques automatizados de gran escala, como relleno de credenciales, DDoS y apropiaciones de cuentas (ATO).

Para proteger las API, es importante considerar una solución de detección de bots que pueda abordar específicamente las amenazas móviles y que no imponga a los desarrolladores la carga de estar realizando cambios en el código fuente.

“Las aplicaciones de viajes y reservas contienen mucha información sensible y valiosa de millones de consumidores, lo que las convierte en un objetivo atractivo para los ciberdelincuentes. Proteger esta información es una tarea difícil, pero afortunadamente para los desarrolladores, pueden simplificar la defensa de sus apps mediante la automatización. Es una forma integral y automatizada de crear, probar, lanzar y monitorear defensas directamente en el proceso de CI/CD de DevOps”, concluye Bavosa.