Los 6 ciberataques más comunes contra apps de viaje

Ciudad de México. La industria del turismo en América Latina vive una importante recuperación tras la pandemia. El mundo está haciendo las maletas, con millones listos para viajar nuevamente a visitar las maravillas de la región. Como una tendencia mundial, cada vez más viajeros utilizan apps desde sus smartphones, en lugar de sitios web, para reservar vuelos y alojamiento, hacer check-in, compartir actividades e incluso comprar cosas. Sin embargo, a medida que la industria crece, los hackers y estafadores también seguirán el dinero.

Recientemente la plataforma de reservas Despegar anunció ingresos récord de entre 640 y 700 millones de dólares durante 2023 por una mayor demanda en América Latina. Directivos de la empresa han revelado que sus tres principales mercados de expansión en la región son Brasil, México y Argentina.

El segmento de reservas de viajes online es uno de los más grandes en la industria turística a nivel mundial. Representa el 63% de toda la industria, aproximadamente 756 mil millones de dólares anuales. Específicamente, el uso de apps de viajes y transporte creció significativamente durante el último año, según la encuesta de expectativas del consumidor de Appdome.

Datos de la Asociación Mexicana de Venta Online, revelan que el 53% de los consumidores mexicanos reservan sus viajes únicamente en línea; mientras que sólo el 3% prefieren las tiendas físicas.

Investigadores en seguridad del portal Security Affairs realizaron auditorías en las principales apps para reserva de viajes y encontraron vulnerabilidades que permitirían a los hackers acceder a datos confidenciales e información personal, como direcciones particulares, números de tarjetas de crédito y cuentas bancarias, teléfonos, usuarios, contraseñas y tokens de sesión, todo lo cual podría representar un riesgo tanto financiero como físico.

"Desafortunadamente, los resultados de estas auditorías de seguridad no son únicos. Son el síntoma de un problema mucho mayor, ya que la mayoría de las apps de Android e iOS carecen de defensas integrales y muchas no tienen protección alguna", dice Alan Bavosa, vicepresidente de Productos de Seguridad de Appdome. "La buena noticia es que los desarrolladores de dispositivos móviles pueden utilizar automatización para la defensa de aplicaciones móviles y resolver muchos de estos problemas de una sola vez." 

El experto en ciberseguridad describe las 6 amenazas más comunes con las que hackers comprometen las apps de viajes, y comparte recomendaciones sobre cómo los equipos de desarrollo pueden mantener seguras sus aplicaciones.

1.     Código desprotegido y almacenamiento de datos inseguro

Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje. Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto. Realizan ingeniería inversa para inspeccionar el código fuente y aprender cómo funciona la aplicación, y dónde se almacena la información confindencial. La mayoría de estos datos no están cifrados de forma predeterminada, lo que significa que cualquiera que pueda encontrarlos, puede leerlos.

Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código, lo que dificulta que los atacantes accedan o comprendan el código fuente o lean los datos. También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena. Esto no sólo incluye el entorno limitado de la app, también el propio código fuente, las cadenas de la aplicación, las preferencias, los archivos de recursos, etc.

2.                 Ataques dinámicos en tiempo de ejecución

Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan. Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos. Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.

Dado que el pago generalmente se realiza con tarjeta de crédito, los expertos de Appdome recomiendan que las aplicaciones de viajes y reservas implementen protección de seguridad en tiempo de ejecución (RASP), protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente. Dichas protecciones son cruciales para proteger los datos de los titulares de las tarjetas y cumplir con los estándares de la industria PCI DSS, para salvaguardar las transacciones, datos y prevenir el robo de identidad.

3.                 Conexiones inseguras y ataques MitM

Los hackers utilizan muchas técnicas para realizar ataques MitM con el fin de interceptar o robar datos, o incluso hacerse pasar por usuarios o servicios confiables. Muchas apps de viajes utilizan versiones inseguras u obsoletas de HTTP o TLS, que carecen de cifrado suficiente o pueden ser susceptibles a vulnerabilidades de seguridad que permitirían ataques de intermediario. 

"Los desarrolladores de apps para iOS y Android pueden proteger las conexiones y datos mediante protecciones como la validación de certificados, verificación de CA, detección de proxy malicioso, fijación de certificados y más. El uso de la automatización de la ciberdefensa sin código elimina todo el trabajo pesado de crear e implementar estas protecciones críticas en las apps", explica Bavosa.

4.                 Malware, ataques de superposición, apps falsas y troyanos

El malware está en constante aumento como arma clave para atacar apps móviles, con técnicas como inyección de claves, method hooking y ataques de superposición para todo tipo de propósitos maliciosos. 

En un ataque de superposición, el perpetrador inserta una pantalla falsa que cubre la interfaz de usuario auténtica. Esta táctica tiene como objetivo engañar al usuario para que interactúe con un malware superpuesto, en lugar de con la pantalla real que queda oculta. La superposición maliciosa puede tomar la forma de un botón, un formulario de datos u otra pantalla en una app. 

Está diseñado para parecerse o imitar mucho a la interfaz de usuario real y, por lo general, está oculto por el malware superpuesto malicioso controlado por el atacante. Los ataques de superposición a menudo se combinan con otro malware, aplicaciones falsas, troyanos y registradores de pulsaciones de teclas, que mejoran su eficacia para lograr los objetivos del ciberdelincuente.

5.                Jailbreak, rooting y otras escaladas de privilegios

Las apps usan los destinos y fechas específicas en las que planean viajar e incluso su ubicación exacta actual del consumidor para ofrecer servicios. La exposición de estos datos del usuario es una amenaza básica, pero a menudo ignorada. 

Jailbreak y rooting son técnicas comunes que utilizan los piratas informáticos para comprometer el sistema operativo y de archivos subyacentes, lo que a su vez les permite atacar la app, incluyendo el acceso o alteración de ubicación GPS específica. Usar jailbreak y protección root es una buena manera de garantizar que la aplicación se ejecute en un entorno seguro.

6.                APIs inseguras

Para ofrecer la mejor experiencia de usuario, las apps de viajes y reservas a menudo se conectan con múltiples sistemas backend y API de terceros, para servicios como procesamiento de pagos, sistema de precios, plataformas de reservas, servicios de puntos de fidelidad y más. Estas conexiones utilizan muchas API internas y externas diferentes, cada uno de los cuales representa un punto de entrada independiente al que puede apuntar un hacker con el objetivo de robar datos valiosos.

Además, las API de backend suelen ser blanco de bots y botnets maliciosos que intentan comprometer las apps mediante ataques automatizados de gran escala, como relleno de credenciales, DDoS y apropiaciones de cuentas (ATO).

Para proteger las API, es importante considerar una solución de detección de bots que pueda abordar específicamente las amenazas móviles y que no imponga a los desarrolladores la carga de estar realizando cambios en el código fuente.

"Las aplicaciones de viajes y reservas contienen mucha información sensible y valiosa de millones de consumidores, lo que las convierte en un objetivo atractivo para los ciberdelincuentes. Proteger esta información es una tarea difícil, pero afortunadamente para los desarrolladores, pueden simplificar la defensa de sus apps mediante la automatización. Es una forma integral y automatizada de crear, probar, lanzar y monitorear defensas directamente en el proceso de CI/CD de DevOps", concluye Bavosa.

Acerca de Appdome

Appdome, la ventanilla única de la economía de aplicaciones móviles para la defensa de aplicaciones móviles, tiene la misión de proteger todas las aplicaciones móviles del mundo y a las personas que  las usan en sus vidas y en el trabajo. Appdome proporciona la única plataforma de automatización de defensa cibernética de aplicaciones móviles de la industria móvil, impulsada por un motor de codificación patentado basado en inteligencia artificial, Threat-Events™ Threat-Aware UX / UI Control y ThreatScope™ Mobile XDR. Con Appdome, las marcas móviles eliminan la complejidad, ahorran dinero y ofrecen 300+ Certified Secure™mobile app security, anti-malware, anti-fraud, MOBILEBot™ Defense, anti-cheat, prevención de ataques MiTM, ofuscación de código y otras protecciones en aplicaciones Android e iOS con facilidad, todo dentro de la canalización móvil de DevOps y CI/CD. Las principales marcas financieras, de salud, juegos móviles, gubernamentales y de comercio móvil utilizan Appdome para proteger las aplicaciones de Android e iOS, a los clientes móviles y las empresas móviles a nivel mundial. Appdome posee varias patentes, incluidas las patentes estadounidenses 9,934,017 B2, 10,310,870 B2, 10,606,582 B2, 11,243,748 B2 y 11,294,663 B2. Patentes adicionales pendientes.