3darcastudio - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Advierten sobre fallo de seguridad en sitios web de reservas de hotel

Dos de cada tres sitios web de hoteles filtran detalles de las reservaciones de los huéspedes y permiten a terceros acceder a datos personales o incluso cancelar la reservación, advierte experto de Symantec.

Hace poco, mientras investigaba posibles ataques de hackeo mediante formularios (formjacking) en sitios web de hoteles, me encontré con otro problema que podría filtrar datos personales míos y de otros huéspedes. Examiné múltiples sitios web ―que incluyeron más de 1500 hoteles ubicados en 54 países de todo el mundo― para determinar qué tan común es este problema de privacidad, y encontré que dos de cada tres (o el 67%) de estos sitios filtran de manera inadvertida códigos de referencia de reservaciones a sitios de terceros tales como anunciantes y empresas de análisis. Todos ellos tenían una política de privacidad, pero ninguno mencionó explícitamente este comportamiento.

Si bien no es ningún secreto el hecho de que los anunciantes rastrean los hábitos de navegación de los usuarios, en este caso la información divulgada podría permitir a esos servicios de terceros ingresar a una reservación, consultar datos personales e incluso cancelar por completo la reservación.

Casi ha transcurrido un año desde que en Europa entró en vigor el Reglamento General de Protección de Datos (GDPR), pero muchos hoteles afectados por este problema han sido muy lentos para reconocerlo y mucho más para resolverlo.

Los sitios que examiné abarcaron desde hoteles de dos estrellas en el campo hasta lujosos complejos de cinco estrellas en la playa. Básicamente elegí de manera aleatoria los lugares en los que me gustaría pasar mis vacaciones, luego seleccioné los principales resultados que aparecieron en el motor de búsqueda y que coincidían con hoteles ubicados en esos lugares. Algunos de los sitios que examiné corresponden a hoteles que son parte de cadenas hoteleras más grandes y reconocidas, lo cual significa que mi investigación sobre un hotel es aplicable a otros hoteles de la cadena.

Algunos sistemas de reservación fueron dignos de elogio, pues solo revelaron un valor numérico y la fecha de la estancia, y no divulgaron ninguna información personal. Sin embargo, la mayoría filtró datos personales como, por ejemplo:

  • Nombre completo
  • Dirección de correo electrónico
  • Dirección postal
  • Número de teléfono móvil
  • Últimos cuatro dígitos de la tarjeta de crédito, tipo de tarjeta y fecha de vencimiento
  • Número de pasaporte
Ejemplo de una confirmación de reservación en la que se observan los tipos de datos de la reservación del huésped que podrían filtrarse.

 

¿Cuál es la causa de estas filtraciones?

Más de la mitad (57%) de los sitios que examiné envían al consumidor un correo electrónico de confirmación con un enlace de acceso directo a su reservación. Esto se ofrece por comodidad para el usuario, pues le permite simplemente hacer clic en el enlace e ir directo a su reservación sin tener que iniciar sesión.

Puesto que el correo electrónico requiere un enlace estático, las solicitudes web en realidad no son una alternativa adecuada, pues el código de referencia de la reservación y el correo electrónico se transmiten como argumentos en la propia URL. Por sí mismo este no sería un problema. Sin embargo, muchos sitios cargan directamente contenido adicional en el mismo sitio web, por ejemplo, anuncios. Esto significa que el acceso directo se revela directamente a otros recursos o indirectamente a través del campo de remitente de la solicitud HTTP. Mis análisis demostraron que se generan en promedio 176 solicitudes por reservación, aunque no todas las solicitudes contienen detalles de la reservación. Esta cifra indica que los datos de las reservaciones podrían estarse difundiendo de forma muy amplia.

Para demostrarlo, supongamos que el correo electrónico de confirmación contiene un enlace con el siguiente formato, que podría permitirme iniciar sesión de manera automática para consultar el resumen de mi reservación:

https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld

La página cargada, que en este ejemplo es el sitio web retrieve.php, puede invocar a muchos recursos remotos. Algunas solicitudes web hechas para estos objetos externos envían directamente toda la URL, incluidas las credenciales, como un argumento de la URL.

El siguiente es un ejemplo de una solicitud de análisis que contiene toda la URL original, incluidos los argumentos en forma de argumento propio:

https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail%3Djohn%5Fsmith%40myMail.tld&dt=Your%20booking&sr=1920x1080&vp=1061x969&je=0&_u=SCEBgAAL~&jid=1804692919&gjid=1117313061&cid=1111866200.1552848010&tid=UA-000000-2&_gid=697872061.1552848010&gtm=2wg3b2MMKSS89&z=337564139

Como ya mencioné, son los mismos datos que aparecen en el campo de remitente y que en muchos casos se envían juntos mediante el navegador. Esto provoca que el código de referencia sea revelado a más de 30 diferentes proveedores de servicio, lo cual incluye redes sociales muy conocidas, motores de búsqueda y servicios de publicidad y análisis. Esta información podría permitir a estos servicios de terceros ingresar a una reservación, ver datos personales e incluso cancelar por completo la reservación.

Cabe destacar que la falla no radica en el lado del proveedor de servicios.

Hay otras situaciones en las que los datos de reservación también pueden filtrarse. Algunos sitios transmiten la información durante el proceso de reservación, mientras que otros la filtran cuando el consumidor inicia sesión manualmente en el sitio web. Otros generan un token de acceso que entonces se transmite en la URL en lugar de las credenciales, lo cual tampoco constituye una buena práctica.

En la mayoría de los casos encontré que los datos de la reservación siguen siendo visibles, incluso aunque la reservación se haya cancelado, lo cual da a un atacante una gran oportunidad para robar información personal.

Los motores de metabúsqueda y de reservación de los hoteles parecen ser ligeramente más seguros. De los cinco servicios que examiné, dos filtraron las credenciales y uno envió el enlace de inicio de sesión sin cifrado.

Cabe observar que identifiqué algunos sitios web bien configurados que primero resumen las credenciales y luego las redirigen tras instalar una cookie, con lo cual se garantiza que no se filtren datos.

Enlaces no cifrados

Podría argumentarse que el riesgo para la privacidad causado por este problema es bajo, dado que los datos solo se revelan a proveedores terceros en los que los sitios web confían. Sin embargo, resulta preocupante que haya encontrado que más de una cuarta parte (29%) de los sitios web de hoteles no cifraron el enlace inicial que enviaron en el mensaje de correo electrónico que contenía el identificador. Por lo tanto, un posible atacante podría interceptar las credenciales del consumidor que haga clic en el enlace HTTP del mensaje de correo electrónico, por ejemplo, para ver o modificar su reservación. Esto puede ocurrir en hotspots públicos como los de aeropuertos u hoteles, a menos que el usuario proteja la conexión con software de VPN. También observé un sistema de reservación que filtró datos durante el proceso de reservación hacia un servidor mediante HTTP antes de que la conexión se redirigiera a HTTPS.

Desafortunadamente, esta práctica no es exclusiva del sector hotelero. Revelar de manera inadvertida información confidencial en los argumentos de la URL o en el campo de remitente es una práctica generalizada entre los sitios web. En los últimos años he visto problemas similares con múltiples sitios web de aerolíneas, de atracciones vacacionales y de otro tipo. En febrero de 2019 otros investigadores informaron problemas similares, en los que se usaban enlaces no cifrados en diversos proveedores de servicios aéreos.

Problemas adicionales

También descubrí que muchos sitios web permiten ataques forzados a la referencia de la reservación, así como ataques de enumeración. En muchos casos el código de referencia de la reservación simplemente se incrementa de una reservación a la siguiente. Esto significa que, si el atacante conoce la dirección de correo electrónico o el apellido del consumidor, puede intuir el número de referencia de la siguiente reservación del consumidor e ingresar a ella. El ataque forzado a los números de reservación es un problema generalizado en el sector turístico, y ya publiqué una entrada de blog al respecto.

Tales ataques quizá no estén muy generalizados, pero funcionan bien cuando un atacante tiene en mente un objetivo específico o cuando conoce la ubicación de su objetivo, por ejemplo, un hotel de congresos. Con algunos sitios web ni siquiera es necesario conocer la dirección de correo electrónico o el nombre del consumidor que están registrados en el servidor: basta con tener un código de referencia de reservación válido. Encontré muchos ejemplos de estos errores de codificación que podrían haberme permitido no solo acceder a todas las reservaciones activas de una cadena de hoteles grande, sino también ver todos los boletos de avión válidos de una aerolínea internacional.

Un motor de reservaciones fue suficientemente inteligente para crear un código aleatorio de número de identificación personal (NIP) a fin de que el huésped lo usara junto con el número de referencia de la reservación. Desafortunadamente, el inicio de sesión no estaba vinculado con la reservación real a la que se accedió. Por consiguiente, un atacante podría simplemente usar sus propias credenciales válidas para iniciar sesión e incluso así acceder a cualquier reservación. Hasta el momento no he encontrado ninguna evidencia de que hubiese algún límite de velocidad en el servidor que pudiese desacelerar ese tipo de ataques.

¿Cuáles son los riesgos?

El informe sobre conocimientos de ciberseguridad de Norton LifeLock para 2019 recién reveló que los usuarios están cada vez más preocupados por su privacidad (83%), mientras que otros dicen que aceptan ciertos riesgos con tal de hacer que su vida sea más cómoda (61%).

Muchas personas con frecuencia revelan detalles de sus viajes publicando fotografías en redes sociales. Algunos ni siquiera se molestan en difuminar la referencia de la reservación de sus boletos. Es posible que a estas personas no les preocupe demasiado su privacidad y quizá en realidad quieran que sus seguidores sepan dónde están, pero estoy muy seguro de que pondrían más atención si llegaran a su hotel y descubrieran que su reservación está cancelada. Un atacante podría decidir cancelar una reservación solo por diversión o como venganza personal, pero también podría dañar la reputación de un hotel como parte de un plan de extorsión o como acto de sabotaje efectuado por un competidor.  

También se han presentado algunas fugas de datos en la industria hotelera y exposiciones de datos en depósitos de datos de nube mal configurados. Esa información podría venderse en los mercados clandestinos o usarse para suplantar identidades. Cuanto más completa sea la información recopilada, mayor será su valor.

Los estafadores también podrían usar la información recopilada de esta forma para enviar mensajes de spam personalizados que parezcan convincentes o para efectuar otros ataques de ingeniería social. El uso de información personal para suplantar la identidad podría aumentar la credibilidad de los mensajes de extorsión que afirmen que usted ha sido objeto de hackeo.

Además, también podría haber grupos de ataque dirigido que estén interesados en los movimientos de empresarios y empleados gubernamentales. Se sabe que varios grupos de amenaza persistente avanzada (APT) ―como DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail y WhiteFly― han afectado a objetivos de la industria hotelera. Existen varias razones por las que estos grupos están interesados en la industria hotelera, por ejemplo, con fines de vigilancia general, para rastrear los movimientos de un objetivo e identificar a las personas que lo acompañan, o bien para averiguar cuánto tiempo pasa alguien en un lugar particular. Estos ataques podrían incluso permitir el acceso físico a la ubicación de un objetivo.

Cómo resolver el problema

Según el GDPR, los datos personales de la población europea deben protegerse mejor en vista de estos problemas. Sin embargo, la respuesta que dieron los hoteles afectados ante mis hallazgos fue desalentadora.

Me comuniqué con los responsables de la privacidad de los datos de los hoteles afectados y les informé acerca de mis hallazgos. Sorprendentemente, 25% de ellos no respondieron en seis semanas. Un mensaje de correo electrónico fue devuelto, pues la dirección que aparece en la política de privacidad ya no está activa. Los que sí respondieron tardaron en promedio 10 días en hacerlo. La mayoría confirmó haber recibido mi consulta y se comprometieron a investigar el problema y a implementar los cambios necesarios. Algunos argumentaron que esos no eran datos personales en absoluto y que los datos debían revelarse a las empresas anunciantes conforme a lo que establece la política de privacidad. Algunos admitieron que aún están actualizando sus sistemas para poder cumplir totalmente con el GDPR. Otros hoteles que usan servicios externos para sus sistemas de reservación se preocuparon al descubrir que sus proveedores no cumplían en absoluto con el GDPR, lo cual indica que los hoteles quizá no estén realizando una investigación adecuada de sus socios de servicios de reservación conforme a los requisitos del GDPR.

En los sitios de reservaciones deben usarse enlaces cifrados (HTTPS) y debe procurarse no filtrar credenciales como argumentos de la URL (por ejemplo, mediante el uso de cookies) conforme lo permitan las normas de protección de la privacidad aplicables. Los consumidores pueden revisar si los enlaces están cifrados o si sus datos personales (por ejemplo, su dirección de correo electrónico) se están transmitiendo como datos visibles en la URL. También pueden usar servicios de VPN para reducir en la mayor medida posible su exposición en hotspots públicos. Desafortunadamente, para el huésped común de un hotel quizá no sea fácil identificar tales filtraciones y puede ser que no tenga muchas opciones si quiere hacer una reservación en un hotel específico.

El hecho de que este problema exista, a pesar de que el GDPR haya entrado en vigor en Europa hace ya casi un año, sugiere que la implementación del GDPR no se ha dirigido por completo a la forma en que las organizaciones responden ante la filtración de los datos. Hasta el momento se han reportado más de 200,000 casos de infracciones al GDPR, quejas y fugas de datos y los datos personales de los usuarios siguen en riesgo.

Sobre el autor: Candid Wueest trabaja para la división de seguridad en respuestas y nuevas tecnologías de Symantec (STAR). Es responsable de analizar las nuevas amenazas de seguridad, asesora sobre estrategias de mitigación y escribe los informes de investigación sobre las nuevas tendencias de seguridad como las amenazas a la internet de las cosas.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close