El mundo está haciendo las maletas, con millones listos para viajar nuevamente a visitar las maravillas de la región.
Como una tendencia mundial, cada vez más viajeros utilizan apps desde sus smartphones, en lugar de sitios web, para reservar vuelos y alojamiento, hacer check-in, compartir actividades e incluso comprar cosas.
Sin embargo, a medida que la industria crece, los hackers y estafadores también seguirán el dinero.
Recientemente la plataforma de reservas Despegar anunció ingresos récord de entre 640 y 700 millones de dólares durante 2023 por una mayor demanda en América Latina.
Directivos de la empresa han revelado que sus tres principales mercados de expansión en la región son Brasil, México y Argentina.
El segmento de reservas de viajes online es uno de los más grandes en la industria turística a nivel mundial. Representa el 63% de toda la industria, aproximadamente 756 mil millones de dólares anuales.
Específicamente, el uso de apps de viajes y transporte creció significativamente durante el último año, según la encuesta de expectativas del consumidor de Appdome.
Datos de la Asociación Mexicana de Venta Online, revelan que el 53% de los consumidores mexicanos reservan sus viajes únicamente en línea; mientras que sólo el 3% prefieren las tiendas físicas.
Appdome analiza plataformas de reservas de viaje
Investigadores en seguridad del portal Security Affairs realizaron auditorías en las principales apps para reserva de viajes.
Encontraron vulnerabilidades que permitirían a los hackers acceder a datos confidenciales e información personal, como direcciones particulares, números de tarjetas de crédito y cuentas bancarias, teléfonos, usuarios, contraseñas y tokens de sesión, todo lo cual podría representar un riesgo tanto financiero como físico.
“Desafortunadamente, los resultados de estas auditorías de seguridad no son únicos. Son el síntoma de un problema mucho mayor, ya que la mayoría de las apps de Android e iOS carecen de defensas integrales y muchas no tienen protección alguna”, dice Alan Bavosa, vicepresidente de Productos de Seguridad de Appdome.
«La buena noticia es que los desarrolladores de dispositivos móviles pueden utilizar automatización para la defensa de aplicaciones móviles y resolver muchos de estos problemas de una sola vez.»
El experto en ciberseguridad describe las 6 amenazas más comunes con las que hackers comprometen las apps de viajes, y comparte recomendaciones sobre cómo los equipos de desarrollo pueden mantener seguras sus aplicaciones.
Código desprotegido y almacenamiento de datos inseguro
Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje.
Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto.
Realizan ingeniería inversa para inspeccionar el código fuente y aprender cómo funciona la aplicación, y dónde se almacena la información confindencial.
La mayoría de estos datos no están cifrados de forma predeterminada, lo que significa que cualquiera que pueda encontrarlos, puede leerlos.
Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código, lo que dificulta que los atacantes accedan o comprendan el código fuente o lean los datos.
También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena.
Esto no sólo incluye el entorno limitado de la app, también el propio código fuente, las cadenas de la aplicación, las preferencias, los archivos de recursos, etc.
Ataques dinámicos en tiempo de ejecución
Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan.
Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos.
Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.
Dado que el pago generalmente se realiza con tarjeta de crédito, los expertos de Appdome recomiendan que las aplicaciones de viajes y reservas implementen protección de seguridad en tiempo de ejecución (RASP), protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente.
Dichas protecciones son cruciales para proteger los datos de los titulares de las tarjetas y cumplir con los estándares de la industria PCI DSS, para salvaguardar las transacciones, datos y prevenir el robo de identidad.