Probablemente ya estarás planeando tus vacaciones de verano, o incluso es posible que ya las hayas dejado cerradas. Y es muy posible que ya hayas reservado un hotel, y que este te haya mandado un correo electrónico con la confirmación de tu reserva. Y, según una reciente investigación de Symantec, es entonces cuando cualquier atacante, empresa anunciadora o “broker” de datos hace su agosto.
Cualquier hotel moderno que se precie tiene una página web propia en la que hacer reservas; sin embargo, no todos han invertido lo suficiente para que ese proceso sea seguro. Algunas webs incluso cometen errores “de novato”, de esos que eran tan comunes hace unos años pero que ya se han erradicado; o al menos, eso creíamos.
Reservas de hoteles que filtran datos, el peligro de las vacaciones
El informe de Symantec es demoledor. De las más de 1.500 páginas de hoteles de 54 países diferentes comprobadas, nada menos que dos tercios tenían problemas de seguridad. Así que, si has reservado una habitación a través de la web o la app de un hotel, lo más probable es que te afecte.
Y te afectará por una sencilla razón: los hoteles son objetivos muy jugosos para atacantes por la gran cantidad de información que recopilan de sus clientes. Información que puede ser vendida a empresas para mostrarnos anuncios relacionados con nuestro viaje; o usada para suplantar nuestra identidad en otros servicios o incluso en el mismo hotel.
El fallo más grave descubierto es que muchos hoteles dejan la información de sus clientes al aire libre. Eso es porque, cuando reservamos una habitación, nos envían un correo con un enlace personalizado hacia la información de nuestra reserva. La idea es que con un click o toque podamos comprobar los detalles de nuestra estancia y corregir posibles errores.
El problema es que no hace falta ningún tipo de autenticación para ver esa información. Así que cualquiera con el enlace puede ver tus datos. No solo eso, sino que ese enlace se genera de manera automática asignando un número identificador a cada cliente; por lo tanto, en algunos casos para ver la información de cualquier cliente sólo hay que introducir un número cualquiera en la dirección. Unas 850 webs permitían que cualquiera entrase en esas direcciones, y de estas, un tercio permitía variar el número identificador.
La información de los hoteles, a la vista de cualquiera
Pero incluso aunque el hotel lo haya hecho bien y nos haya enviado un enlace seguro, eso no quiere decir que el contenido lo sea. Cuando entramos en el enlace, estas páginas suelen tener todo tipo de rastreadores y otros “scripts” que registran nuestra información y comportamiento. Este tipo de rastreadores son muy comunes en la Web; pero mantenerlos en páginas con información confidencial o privada es una mala práctica que puede terminar con el robo de datos.
Pero tal vez la peor conclusión a la que ha llegado Symantec es que una cuarta parte de los hoteles que fueron avisados de estos errores ignoraron completamente a los investigadores. No parece haber ánimo en la industria de cambiar la manera de hacer las cosas; al menos, hasta que ocurra un escándalo.
Noticias relacionadas
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- El inventor de la contraseña en los ordenadores muere a los 93 años
- Aviso de bomba: como abras este archivo tu ordenador se llenará de datos
- El Walkie-talkie del Apple Watch permite espiar lo que otra persona dice en su iPhone por un bug