Una reciente investigación ha revelado el hallazgo de cientos de fallas de seguridad en los sitios web de las más grandes aerolíneas, agencias de viajes y cadenas hoteleras del mundo.
Después de analizar los sitios web de decenas de compañías y marcas asociadas, los expertos reportaron que la mayor concentración de errores de seguridad se encuentra en las plataformas de compañías como British Airways, EasyJet y Marriott, en el caso de la cadena hotelera, los investigadores encontraron más de 400 vulnerabilidades en todos sus sitios web; lo peor es que estas compañías ya han sufrido severos incidentes de seguridad informática y sus sistemas de defensa siguen sin mejorar.
La investigación fue realizada por Which?, en colaboración con la firma de seguridad 6point6, quienes evaluaron la seguridad en un total de 89 sitios operados por estas compañías, incluyendo dominios y subdominios.
Los investigadores afirman que no emplearon técnicas de hacking avanzado en este proceso, sino que se limitaron al uso de herramientas completamente legales y disponibles públicas para la búsqueda de información deficientemente protegida. Esto es importante, puesto que demuestra la facilidad para acceder a esta información, supuestamente asegurada.
Como se menciona en párrafos anteriores, Marriott presenta cientos de errores en sus sitios web.
Marriott, invitado frecuente en estas listas
Los investigadores descubrieron un total de 497 vulnerabilidades en todos los sitios web operados por la compañía, incluyendo 96 fallas de alta severidad que podrían ser explotadas para comprometer la información de millones de usuarios.
La investigación de Which? se llevó a cabo apenas un mes de que la cadena hotelera fuera multada con 10 millones de libras por la Oficina del Comisionado de Información (OIC) de Reino Unido debido a un incidente de seguridad que expuso la información de millones de clientes y empleados.
Frecuentes fallas en EasyJet
Hace unos meses EasyJet reveló que sufrió un incidente de seguridad que habría afectado a casi 10 millones de clientes. A pesar de que la compañía se comprometió a mejorar su seguridad, los investigadores encontraron 222 vulnerabilidades en nueve dominios controlados por la aerolínea.
Entre las fallas encontradas en las plataformas de EasyJet se encuentra un error crítico que, de ser explotado, permitiría a los actores de amenazas secuestrar la sesión en el navegador de un usuario objetivo, permitiendo el robo de información privada.
British Airways cae en los mismos errores
El análisis de Which? detectó al menos 115 debilidades en los sitios web de British Airways, señalando que 12 de estas fallas podrían considerarse como críticas. El año pasado, un grupo de hackers logró extraer los nombres, direcciones email y datos financieros de al menos 500 mil clientes de la aerolínea explotando diversas fallas en sus sistemas. La ICO fijó una multa de 183 millones de libras para la compañía, aunque esto no ha ayudado a que aprendan la lección.
Las agencias de viajes no están a salvo
Al analizar los 153 subdominios pertenecientes a la agencia de viajes Lastminute los investigadores encontraron múltiples vulnerabilidades que permitirían a los actores de amenazas manipular los sitios web legítimos para acceder a información confidencial como cookies de sesión, comprometiendo los datos de navegación de sus usuarios.
Riesgo potencial en American Airlines
Los investigadores analizaron los sitios controlados por American Airlines aunque esta compañía no ha sufrido un incidente de seguridad de esta naturaleza, encontrando más de 290 vulnerabilidades, de las cuales 30 podrían considerarse críticas. Cabe mencionar que un ataque contra esta aerolínea requeriría autenticación en sus sistemas, lo que lo hace más difícil.
Algunas de las compañías ya se han pronunciado al respecto de esta investigación, comprometiéndose a mejorar sus prácticas de seguridad, no obstante, aún restan muchos esfuerzos para asegurar los datos de los clientes de la industria turística.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.