La mayoría de los hoteles filtran datos personales En enero de este año, publicamos un artículo sobre un incidente de violación de datos en un importante grupo hotelero. El sitio web ciberataque al Marriott grupo hotelero que guardaba datos de unos 500 millones de clientes fue posteriormente rastreado hasta China.
Al parecer, el ataque formaba parte de un esfuerzo de recopilación de información china que también pirateó los archivos de las aseguradoras de salud y de las autorizaciones de seguridad de otros millones de estadounidenses, según dos personas informadas de la investigación. Se sospecha que los piratas informáticos trabajan para el Ministerio de Seguridad del Estado. Esta es la agencia de espionaje civil controlada por los comunistas del país. El descubrimiento se produce en un momento en el que la administración Trump planea atacar las políticas comerciales, cibernéticas y económicas de China, posiblemente en los próximos días.
Ahora, una vez más, la ciberseguridad en el sector de la hostelería está bajo escrutinio, según un estudio de la empresa de seguridad en línea Symantec, que descubrió niveles alarmantes de filtración de datos de clientes por parte de los hoteles. De hecho, la fuga de datos de las reservas era tan grave que los ciberatacantes podían ver la información personal de los clientes e incluso cancelar sus reservas de hotel. Según numerosas noticias, los hoteles ya tienen un historial bastante sombrío en lo que respecta a la seguridad de los datos, después de que varias grandes cadenas hoteleras de todo el mundo hayan sufrido graves y repetidas violaciones de datos en los últimos años.
Hoteles con fugas
Symantec revisó más de 1.500 sitios web de hoteles en 54 países diferentes y concluyó que más de 67% (2 de cada 3) sitios web de hoteles estaban filtrando inadvertidamente la información de las reservas de los huéspedes y los sitios web de datos personales operados por terceras empresas, como anunciantes y empresas de análisis. Symantec ha advertido que los datos personales comprometidos pueden incluir:
-
nombres completos,
-
dirección postal,
-
números de teléfono móvil,
-
direcciones de correo electrónico,
-
los datos de la tarjeta de crédito (sólo los cuatro últimos dígitos), y
-
números de pasaporte
Candid Wueest, investigador principal de amenazas de Symantec, escribió en su blog:
Mientras investigaba los posibles ataques de formjacking en los sitios web de los hoteles, me topé con otro problema que podría filtrar mis datos personales y los de otros huéspedes, ... Probé varios sitios web -incluyendo más de 1.500 hoteles en 54 países- para determinar cuán común es este problema de privacidad. ...Aunque no es ningún secreto que los anunciantes rastrean los hábitos de navegación de los usuarios, en este caso la información compartida podría permitir a estos servicios de terceros entrar en una reserva, ver los detalles personales e incluso cancelar la reserva por completo,
Según un artículo de prensa de Tom Jowitt, escribe para Silicon UKEn el caso de los hoteles, se trata tanto de lujosos hoteles de cinco estrellas como de hoteles más baratos. Se dice que los hoteles de Estados Unidos, Reino Unido y Europa están afectados, a pesar de los riesgos que conlleva para ellos el Reglamento General de Protección de Datos (RGPD) que entró en vigor en Europa el año pasado.
Confirmaciones por correo electrónico
¿Cuál es exactamente el problema? Bueno, parece que el principal problema es el correo electrónico de confirmación de la reserva, ya que muchos de estos correos electrónicos contienen un enlace activo que dirige a un sitio web independiente donde los huéspedes pueden acceder a su reserva sin tener que volver a iniciar sesión. Lamentablemente, el código de la reserva y la dirección de correo electrónico del huésped suelen estar en la propia URL, lo que normalmente no es un gran problema. Un ejemplo sería: https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld "Por sí solo, esto no sería un problema", escribió Wueest. Y añadió:
Sin embargo, muchos sitios cargan directamente contenidos adicionales en el mismo sitio web, como los anuncios. Esto significa que el acceso directo se comparte bien directamente con otros recursos o bien indirectamente a través del campo referrer en la petición HTTP. Mis pruebas han demostrado que se genera una media de 176 peticiones por reserva, aunque no todas estas peticiones contienen los datos de la reserva. Esta cifra indica que los datos de la reserva pueden ser compartidos ampliamente.
Y, de forma preocupante, Symantec descubrió que más de una cuarta parte (29%) de los sitios de hoteles no cifraron el enlace inicial enviado en el correo electrónico que contenía la identificación. "Los sitios de reservas deberían utilizar enlaces cifrados (HTTPS) y asegurarse de que no se filtran credenciales como argumentos de la URL", aconsejó Wueest. "Los clientes pueden comprobar si los enlaces están encriptados o si los datos personales, como su dirección de correo electrónico, se pasan como datos visibles en la URL", añadió. "También pueden utilizar servicios de VPN para minimizar su exposición en puntos de acceso públicos". Por desgracia, para el huésped medio de un hotel, detectar estas filtraciones puede no ser una tarea fácil, y puede que no tengan muchas opciones si quieren reservar un hotel concreto."
Reacciones de los expertos
Los expertos en seguridad advirtieron a los hoteles de que tienen que mejorar la protección de los datos de los consumidores en la era del GDPR. "Los consumidores deben sentirse seguros cuando entregan su información personal en el sitio web de una empresa", explicó Tim Dunton, director general de Nimbus Hosting:
Lamentablemente, cada vez es más evidente que algunos sitios web carecen de las medidas de seguridad básicas necesarias para evitar que dicha información sea explotada por los ciberdelincuentes, ... En la era del GDPR, y en un momento en el que el consumo existe casi por completo en línea, los sitios web explotables y la falta de medidas básicas de ciberseguridad son simplemente inaceptables. ... De cara al futuro, es esencial que todas las empresas empiecen a comprender todas las implicaciones de no proteger los datos de sus clientes, y empiecen a tomar medidas proactivas para garantizar que los hackers no puedan acceder a información sensible explotando sitios web obsoletos y sistemas informáticos no regulados,
Otro experto señaló que se trataba de un problema de diseño, a pesar de la gravedad del asunto. "Resulta que todos esos correos electrónicos y los banners del sitio web eran la parte fácil del cumplimiento del GDPR", dijo Tim Erlin, vicepresidente de gestión de productos y estrategia de Tripwire. "Este tipo de fuga de datos es fundamentalmente un problema de diseño, lo que no debería restarle gravedad al asunto. ...Con la formación y el modelado de amenazas adecuados, este tipo de problemas puede detenerse en el ciclo de desarrollo, en lugar de en la producción", dijo Erlin. Otro experto dijo que este tipo de filtraciones eran desgraciadamente notorias dentro de los círculos de seguridad. "El dominio cruzado incluye scripts de seguimiento de sitios y plataformas de optimización de sitios que son notorios por causar filtraciones como estas", explicó Martin Jartelius, CSO de Outpost24. "Sin embargo, es estupendo ver que están surgiendo debates para rectificar esto", dijo Jartelius. "En los últimos años, una serie de infracciones han sido causadas por la cadena de suministro o por la dependencia de plataformas gestionadas por otros. Sin embargo, con la cantidad de información que cruza los límites de confianza de las organizaciones, no parece haber una cantidad sustancial de consideración relacionada con la confidencialidad y la privacidad. Este también es uno de los problemas de los dominios para los que se diseñó el GDPR". Fuentes y créditos: El telégrafo de los negocios
