Amenazas a la seguridad y retos a los que se enfrentan las aplicaciones móviles y los sitios web de hostelería
Compartir
Comentario
Amenazas a la seguridad y retos a los que se enfrentan las aplicaciones móviles y los sitios web de hostelería
8 de marzo de 2024
Índice
El sector de la hostelería se nutre de aplicaciones móviles y sitios web. Hoy en día no podría funcionar sin ellas. Las cómodas experiencias del cliente en cualquier momento y lugar y la eficiencia operativa del backend son solo algunas de las razones por las que hoteles, empresas de alimentación y bebidas, viajes y turismo, eventos y entretenimiento, ocio y tiempo libre y empresas de transporte han adoptado la tecnología digital con los brazos abiertos.
Desgraciadamente, la digitalización también expone al sector a las ciberamenazas, en particular las dirigidas contra los datos del sector de las tarjetas de pago (PCI).
Algunos hoteles están incluso explorando sistemas de entrada sin llave basados en aplicaciones, cruciales para garantizar que los huéspedes se sientan seguros de sí mismos y de sus pertenencias, pero que también introducen otra superficie de ataque. Además, los programas de fidelización son activos valiosos, similares a la moneda, que exigen estrictas medidas de seguridad.
Nunca se insistirá lo suficiente en la importancia de proteger estos activos digitales, especialmente a la luz de los recientes ciberataques dirigidos contra populares marcas de hostelería. Examinemos las vulnerabilidades específicas de este sector.
Ciberdeficiencias en el sector de la hostelería
Caso práctico: Ciberataque a MGM Resorts
MGM Resorts sufrió un importante ciberataque que provocó el cierre de todo su sistema. Aunque el ataque se dirigió principalmente a los servidores de la empresa, sus efectos se extendieron a los servicios basados en aplicaciones y a la integridad de los datos PCI. Este incidente subraya la importancia de cerrar los vectores de ataque a los servidores. Y puesto que las aplicaciones móviles se utilizan en hostelería más que nunca, esta creciente superficie de ataque también debe protegerse.
Ataques de phishing y malware
El sector de la hostelería, incluidos los hoteles que operan con aplicaciones móviles de reservas, es uno de los principales objetivos de las campañas de phishing y malware destinadas a robar información de identificación personal (PII) y poner en peligro el cumplimiento de la PCI. Los miembros del personal con derechos administrativos y acceso general son especialmente vulnerables.
Vulnerabilidades de las aplicaciones de reservas de viajes
El almacenamiento de datos inseguro, el cifrado insuficiente de los datos y las vulnerabilidades a los ataques dinámicos en tiempo de ejecución son solo algunas de las vulnerabilidades de las aplicaciones de viajes y turismo. Estas vulnerabilidades pueden exponer a los ciberdelincuentes información personal confidencial, como datos de tarjetas de crédito, direcciones y planes de viaje.
Ataques a sistemas de puerta basados en Bluetooth
La adopción de sistemas de entrada sin llave controlados por aplicaciones y basados en Bluetooth para las puertas de los hoteles requiere defensas sólidas contra vectores de ataque conocidos, y las implementaciones deben estar reforzadas contra el conjunto de ataques conocidos. Estos ataques abarcan los ataques de retransmisión, similares a los observados en los servicios móviles para automóviles, los ataques de repetición y las vulnerabilidades potenciales en los dispositivos de los huéspedes del hotel. Los ataques a la pila Bluetooth han sido una de las vulnerabilidades de día cero explotables a distancia más graves de los últimos años.
Vulnerabilidades del sistema de puertas RFID
Muchos hoteles utilizan sistemas de puertas basados en RFID, que han resultado ser defectuosos, con incidentes de fugas de llaves maestras que permiten el acceso no autorizado sin detección. Este problema, aunque no está directamente relacionado con las aplicaciones, pone de relieve los problemas de ciberseguridad en el sector hotelero.
Amenazas persistentes y exploits
Entre las amenazas específicas identificadas se encuentran la explotación de la vulnerabilidad MOVEit RCE (CVE-2023-34362) y las tácticas de phishing que utilizan archivos HTML adjuntos para el robo de credenciales y la distribución de malware. El informe también señala el importante papel que desempeña la obtención de acceso a credenciales mediante ataques de fuerza bruta, una táctica que representa un porcentaje notable de los incidentes notificados. Estas tácticas ponen de relieve los múltiples enfoques adoptados por los ciberdelincuentes para atacar al sector de la hostelería, desde hoteles individuales hasta grandes cadenas de restaurantes y cruceros.
Informe: Informe de Trustwave sobre las amenazas en el sector de la hostelería
El informe de Trustwave sobre las amenazas a la ciberseguridad en el sector de la hostelería reveló que casi un tercio de las organizaciones hosteleras han sufrido una violación de datos. La investigación documentó métodos de ataque específicos, incluyendo ataques de fuerza bruta, explotación de vulnerabilidades conocidas y ataques a puertos abiertos expuestos, enfatizando el vasto y complejo panorama de amenazas de ciberseguridad de la industria de la hospitalidad.
Enfoque de Verimatrix sobre la seguridad de las aplicaciones móviles y el cumplimiento de la normativa PCI
Los proveedores de ciberseguridad pueden desempeñar un papel crucial a la hora de defenderse de estas amenazas y garantizar el cumplimiento de la normativa PCI. Verimatrix es un actor destacado en este campo, ya que ofrece soluciones integrales diseñadas para proteger las aplicaciones móviles y los sitios web frente a diversos ataques, al tiempo que ayuda a lograr y mantener el cumplimiento de la normativa PCI.
Endurecimiento de aplicaciones: Para contrarrestar el riesgo de que las aplicaciones se utilicen como canal para los ciberataques a los servicios backend (como se ve en el estudio de caso de MGM Resorts), Verimatrix se especializa en endurecimiento de aplicaciones. Se trata de aplicar medidas de seguridad que dificulten considerablemente a los atacantes la explotación de las vulnerabilidades de la aplicación.
Monitoreo de ataque: Verimatrix XTD, nuestra plataforma ampliada de defensa frente a amenazas, supervisa los intentos de ataque y los ataques con éxito a las aplicaciones, lo que permite adoptar contramedidas tempranas y proporciona una evaluación de riesgos en tiempo real. La atestación de dispositivos es una parte importante para lograr la conformidad PCI, ya que supervisa continuamente la integridad de la aplicación y envía notificaciones si la app se ha visto comprometida.
Defensa Man-in-the-Middle (MitM): El paquete Verimatrix incluye defensas contra ataques MitM, protegiendo los datos en tránsito entre una aplicación en el dispositivo de un usuario y los servidores del hotel. Esto es fundamental para salvaguardar la información de pago y otros datos personales del usuario.
Buenas prácticas y consulta: Verimatrix va más allá de ofrecer soluciones listas para usar y asesora a sus clientes sobre las mejores prácticas adaptadas a sus tecnologías y protocolos específicos. Este enfoque es especialmente valioso para los hoteles que desarrollan soluciones de llave de habitación integradas en la aplicación, ya que garantiza su seguridad desde el principio.
Centrarse en pequeñas superficies de ataque: Para las entidades de hostelería, que pueden tener una superficie de ataque relativamente pequeña (por ejemplo, una aplicación para reservas de hotel sin un programa de fidelización), Verimatrix hace hincapié en el valor que puede proporcionar en la protección contra la exposición de datos PII y garantizar el cumplimiento, a pesar del menor riesgo percibido de robo financiero directo.
Resumen
La gran dependencia del sector hotelero de las plataformas digitales subraya la necesidad de una postura de ciberseguridad sólida, especialmente en lo que respecta al cumplimiento de la normativa PCI. Los recientes ciberataques recuerdan la vulnerabilidad de los hoteles ante una serie de amenazas cibernéticas, desde ataques a servidores que afectan a sistemas enteros hasta vulnerabilidades en servicios basados en sitios web y aplicaciones, como el registro de habitaciones o el procesamiento de pagos.
Los proveedores de ciberseguridad como Verimatrix proporcionan herramientas críticas y experiencia para contrarrestar estas amenazas, centrándose en la atestación de dispositivos, la defensa contra vectores de ataque específicos y el apoyo al cumplimiento. A medida que los hoteles sigan innovando digitalmente, será fundamental asociarse con proveedores de ciberseguridad experimentados para salvaguardar los activos digitales y mantener la confianza de los huéspedes.
Proteja a su organización de posibles responsabilidades
Suscríbase a nuestro boletín y manténgase informado sobre las últimas amenazas y medidas proactivas para proteger su aplicación de hostelería.
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comentario
Amenazas a la seguridad y retos a los que se enfrentan las aplicaciones móviles y los sitios web de hostelería
Índice
El sector de la hostelería se nutre de aplicaciones móviles y sitios web. Hoy en día no podría funcionar sin ellas. Las cómodas experiencias del cliente en cualquier momento y lugar y la eficiencia operativa del backend son solo algunas de las razones por las que hoteles, empresas de alimentación y bebidas, viajes y turismo, eventos y entretenimiento, ocio y tiempo libre y empresas de transporte han adoptado la tecnología digital con los brazos abiertos.
Desgraciadamente, la digitalización también expone al sector a las ciberamenazas, en particular las dirigidas contra los datos del sector de las tarjetas de pago (PCI).
Algunos hoteles están incluso explorando sistemas de entrada sin llave basados en aplicaciones, cruciales para garantizar que los huéspedes se sientan seguros de sí mismos y de sus pertenencias, pero que también introducen otra superficie de ataque. Además, los programas de fidelización son activos valiosos, similares a la moneda, que exigen estrictas medidas de seguridad.
Nunca se insistirá lo suficiente en la importancia de proteger estos activos digitales, especialmente a la luz de los recientes ciberataques dirigidos contra populares marcas de hostelería. Examinemos las vulnerabilidades específicas de este sector.
Ciberdeficiencias en el sector de la hostelería
Caso práctico: Ciberataque a MGM Resorts
MGM Resorts sufrió un importante ciberataque que provocó el cierre de todo su sistema. Aunque el ataque se dirigió principalmente a los servidores de la empresa, sus efectos se extendieron a los servicios basados en aplicaciones y a la integridad de los datos PCI. Este incidente subraya la importancia de cerrar los vectores de ataque a los servidores. Y puesto que las aplicaciones móviles se utilizan en hostelería más que nunca, esta creciente superficie de ataque también debe protegerse.
Ataques de phishing y malware
El sector de la hostelería, incluidos los hoteles que operan con aplicaciones móviles de reservas, es uno de los principales objetivos de las campañas de phishing y malware destinadas a robar información de identificación personal (PII) y poner en peligro el cumplimiento de la PCI. Los miembros del personal con derechos administrativos y acceso general son especialmente vulnerables.
Vulnerabilidades de las aplicaciones de reservas de viajes
El almacenamiento de datos inseguro, el cifrado insuficiente de los datos y las vulnerabilidades a los ataques dinámicos en tiempo de ejecución son solo algunas de las vulnerabilidades de las aplicaciones de viajes y turismo. Estas vulnerabilidades pueden exponer a los ciberdelincuentes información personal confidencial, como datos de tarjetas de crédito, direcciones y planes de viaje.
Ataques a sistemas de puerta basados en Bluetooth
La adopción de sistemas de entrada sin llave controlados por aplicaciones y basados en Bluetooth para las puertas de los hoteles requiere defensas sólidas contra vectores de ataque conocidos, y las implementaciones deben estar reforzadas contra el conjunto de ataques conocidos. Estos ataques abarcan los ataques de retransmisión, similares a los observados en los servicios móviles para automóviles, los ataques de repetición y las vulnerabilidades potenciales en los dispositivos de los huéspedes del hotel. Los ataques a la pila Bluetooth han sido una de las vulnerabilidades de día cero explotables a distancia más graves de los últimos años.
Vulnerabilidades del sistema de puertas RFID
Muchos hoteles utilizan sistemas de puertas basados en RFID, que han resultado ser defectuosos, con incidentes de fugas de llaves maestras que permiten el acceso no autorizado sin detección. Este problema, aunque no está directamente relacionado con las aplicaciones, pone de relieve los problemas de ciberseguridad en el sector hotelero.
Amenazas persistentes y exploits
Entre las amenazas específicas identificadas se encuentran la explotación de la vulnerabilidad MOVEit RCE (CVE-2023-34362) y las tácticas de phishing que utilizan archivos HTML adjuntos para el robo de credenciales y la distribución de malware. El informe también señala el importante papel que desempeña la obtención de acceso a credenciales mediante ataques de fuerza bruta, una táctica que representa un porcentaje notable de los incidentes notificados. Estas tácticas ponen de relieve los múltiples enfoques adoptados por los ciberdelincuentes para atacar al sector de la hostelería, desde hoteles individuales hasta grandes cadenas de restaurantes y cruceros.
Informe: Informe de Trustwave sobre las amenazas en el sector de la hostelería
El informe de Trustwave sobre las amenazas a la ciberseguridad en el sector de la hostelería reveló que casi un tercio de las organizaciones hosteleras han sufrido una violación de datos. La investigación documentó métodos de ataque específicos, incluyendo ataques de fuerza bruta, explotación de vulnerabilidades conocidas y ataques a puertos abiertos expuestos, enfatizando el vasto y complejo panorama de amenazas de ciberseguridad de la industria de la hospitalidad.
Enfoque de Verimatrix sobre la seguridad de las aplicaciones móviles y el cumplimiento de la normativa PCI
Los proveedores de ciberseguridad pueden desempeñar un papel crucial a la hora de defenderse de estas amenazas y garantizar el cumplimiento de la normativa PCI. Verimatrix es un actor destacado en este campo, ya que ofrece soluciones integrales diseñadas para proteger las aplicaciones móviles y los sitios web frente a diversos ataques, al tiempo que ayuda a lograr y mantener el cumplimiento de la normativa PCI.
Resumen
La gran dependencia del sector hotelero de las plataformas digitales subraya la necesidad de una postura de ciberseguridad sólida, especialmente en lo que respecta al cumplimiento de la normativa PCI. Los recientes ciberataques recuerdan la vulnerabilidad de los hoteles ante una serie de amenazas cibernéticas, desde ataques a servidores que afectan a sistemas enteros hasta vulnerabilidades en servicios basados en sitios web y aplicaciones, como el registro de habitaciones o el procesamiento de pagos.
Los proveedores de ciberseguridad como Verimatrix proporcionan herramientas críticas y experiencia para contrarrestar estas amenazas, centrándose en la atestación de dispositivos, la defensa contra vectores de ataque específicos y el apoyo al cumplimiento. A medida que los hoteles sigan innovando digitalmente, será fundamental asociarse con proveedores de ciberseguridad experimentados para salvaguardar los activos digitales y mantener la confianza de los huéspedes.
Proteja a su organización de posibles responsabilidades
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 11: Coper, Octo, CriminalMW y más
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024
La proliferación de herramientas frente a la ausencia total de herramientas de seguridad
Resumen de amenazas a la ciberseguridad nº 10: Joker, Samecoin, SpyNote y más