Cuando reserve un viaje en línea, piense en todos los datos personales que comparte, su dirección, la información de su pasaporte y, naturalmente, la información de su tarjeta de crédito. Si está reservando a través de una gran aerolínea o cadena de hoteles, probablemente asuma que su información está segura y protegida. Sin embargo, un informe reciente de Which? muestra que muchos grandes nombres dentro de los sectores de viajes y hotelería continúan luchando por mantener seguros los datos de los clientes.
La investigación, realizada en junio de 2020 en colaboración con la firma de seguridad 6point6, señala que los sitios web de 98 compañías de viajes diferentes contienen cientos de vulnerabilidades que podrían ser explotadas por un tercero. Las empresas van desde cadenas hoteleras y aerolíneas hasta operadores turísticos y líneas de cruceros.
Entre los peores infractores se encuentran British Airways, Marriott y easyJetthree compañías que ya han sido blanco de violaciones de datos, lo que ha provocado la filtración de la información personal de cerca de 350 millones de clientes.
"Desafortunadamente, este tipo de brechas de seguridad son increíblemente comunes. Esto es preocupante porque estas empresas mantienen información confidencial de los clientes, como los nombres de los usuarios, las direcciones, las direcciones de correo electrónico y la información de pago, por lo que si los datos están expuestos, podrían hacer que sus clientes más susceptibles al robo de identidad, lo que podría resultar en pérdidas financieras ", dijo a Travel-huh Gabe Turner, experto en ciberseguridad y editor en jefe del sitio web de seguridad digital Security.org. "Las empresas deben invertir más en seguridad digital, especialmente si manejan información de identificación personal de los clientes".
¿Cuales? También descubrió que gran parte de los datos de viajes robados estaban disponibles en la web oscura, encontrando que el valor de 7.2GB de datos del sitio de reserva de viajes ixigo se podía comprar por $ 262. Esta información incluía nombres, direcciones, contraseñas, números de pasaporte y otra información confidencial.
El estudio de Which? examinó todos los dominios y subdominios relacionados del sitio web principal de la empresa afectada, incluidos los portales de inicio de sesión de los empleados, para encontrar oportunidades en las que los piratas informáticos pudieran obtener acceso a información confidencial. Al realizar el estudio, los investigadores no utilizaron métodos de piratería complejos, sino herramientas legalmente disponibles accesibles para cualquiera.
Aún así, algunas de las empresas mencionadas en el informe insisten en que sus medidas de ciberseguridad son adecuadas. "Nos tomamos muy en serio la protección de los datos de nuestros clientes y seguimos invirtiendo mucho en ciberseguridad", dijo a Travel-huh Catherine Wilson, portavoz de British Airways. "Contamos con múltiples capas de protección y estamos satisfechos de tener los controles adecuados para mitigar las vulnerabilidades identificadas. Estos controles a menudo no se detectan en escaneos externos crudos".
British Airways fue blanco de un ciberataque en 2018 en el que se robaron los nombres, direcciones de correo electrónico e información de tarjetas de crédito de cerca de 500.000 clientes. En respuesta, la ICO propuso una multa de 230 millones de dólares, la multa más grande de la historia según el Reglamento General de Protección de Datos. ¿Cuales? El estudio de British Airways descubrió 115 vulnerabilidades potenciales, 12 de las cuales se consideraron "críticas", en el sitio web de British Airways. También encontró la asombrosa cantidad de 497 vulnerabilidades en el sitio web de Marriott y 222 vulnerabilidades en los nueve dominios de easyJet. Se descubrió que incluso las empresas que aún no han experimentado una violación de datos de alto perfil, como American Airlines con sede en Fort Worth, Texas, tienen vulnerabilidades.
El estudio concluye que las tres empresas, entre otras, "no han aprendido lecciones de violaciones de datos anteriores y están dejando a sus clientes expuestos a ciberdelincuentes oportunistas", escribió Rory Boland, Which? Editor de viajes. "Las empresas de viajes deben mejorar su juego y proteger mejor a sus clientes de las amenazas cibernéticas".