Viajar debería ser una experiencia agradable y segura. Por desgracia, ante la llegada del verano y las vacaciones, los ciberdelincuentes ven en el aumento del uso de apps de aerolíneas y viajes, una oportunidad para explotar vulnerabilidades y robar datos sensibles. Es por eso que distintos sectores de la industria turística priorizan en estas fechas con especial énfasis la ciberseguridad en sus aplicaciones móviles.
Los atacantes utilizan técnicas dinámicas para analizar o modificar las aplicaciones móviles mientras se están ejecutando. Lo hacen para comprender cómo se comporta la aplicación e interactúa con otros componentes o sistemas, tanto internos como externos. Al comprometer las aplicaciones de viajes de esta manera, los atacantes pueden robar o recopilar datos utilizados en las transacciones e incluso modificar los flujos de trabajo de una aplicación móvil en tiempo real.
Dado que los pagos se realizan a menudo con tarjetas de crédito, los expertos de Appdome recomiendan que las aplicaciones de viajes y reservas implementen protecciones de autoprotección de aplicaciones en tiempo de ejecución (RASP), antimanipulación, antidepuración y antirreversión. Estas medidas impiden que la aplicación sea modificada o alterada dinámicamente. Estas protecciones, combinadas con otras medidas de seguridad, son esenciales para proteger los datos de los titulares de tarjetas y cumplir las normas del sector PCI DSS, garantizando la seguridad de las transacciones y evitando el robo de identidades.
Conexiones inseguras y ataques de intermediario (MitM)
Los piratas informáticos utilizan diversas técnicas para llevar a cabo ataques MitM (Man-in-the-Middle) con el fin de interceptar, robar datos o suplantar la identidad de usuarios o servicios de confianza. Muchas aplicaciones de viajes utilizan versiones inseguras o anticuadas de HTTP (Hypertext Transfer Protocol) o TLS (Transport Layer Security), que carecen del cifrado adecuado o son susceptibles de vulnerabilidades que permiten ataques de intermediario.
«Los desarrolladores móviles pueden proteger las conexiones y los datos de las aplicaciones Android e iOS utilizando protecciones como la validación de certificados, la verificación de CA (Autoridad de Certificación), la detección de proxies maliciosos, la fijación de certificados y mucho más. La automatización de la ciberdefensa sin código elimina la pesada tarea de crear e implantar estas protecciones críticas en las aplicaciones móviles», afirma Chris Roeckl, Jefe de Producto de Appdome.
Malware móvil, ataques superpuestos, aplicaciones falsas y troyanos
El malware sigue siendo una herramienta fundamental en los ataques a aplicaciones móviles, utilizando técnicas como la inyección de claves, la captura de métodos y los ataques superpuestos con fines maliciosos. En un ataque de superposición, el atacante inserta una pantalla falsa que cubre la interfaz de usuario auténtica, engañando al usuario para que interactúe con el malware en lugar de con la pantalla real.
Las superposiciones maliciosas pueden aparecer como botones, campos de entrada de datos u otras pantallas incrustadas dentro de la aplicación móvil, imitando la interfaz real. Este tipo de ataque suele combinarse con otros programas maliciosos, aplicaciones falsas, troyanos y keyloggers, lo que aumenta su eficacia para lograr los objetivos de los ciberdelincuentes.
¿Cómo pueden las empresas de viajes garantizar una mayor seguridad a sus consumidores?
Empresas como Appdome recomiendan que, además de las medidas técnicas de seguridad, las aerolíneas inviertan en la formación continua de desarrolladores y equipos de seguridad, destacando que la concienciación y la formación son esenciales para una defensa eficaz contra los ciberataques. Mantener a los equipos actualizados sobre las últimas amenazas y técnicas de mitigación es crucial.
Asimismo, las pruebas de penetración y las auditorías periódicas ayudan a identificar y corregir las vulnerabilidades antes de que sean explotadas. «La seguridad es un esfuerzo continuo y de colaboración», señala Roeckl, quie agrega que «trabajar con socios del sector, expertos en seguridad y la comunidad de usuarios puede reforzar significativamente las defensas de las aplicaciones, creando un entorno de viaje más seguro para todos».