Las instituciones financieras son un blanco favorito de los hackers, por la obvia razón de que por ahí pasa el dinero; también lo son las grandes tiendas, porque allí van las personas a gastar su dinero. Los hoteles pueden ser un objetivo menos obvio, pero los hackers han identificado que tienen su atractivo: cadenas de la talla de Hilton, Hyatt e InterContinental los han sufrido.
“Han vulnerado las cerraduras electrónicas para robar en la habitaciones y han empleado ataques de malware para registrar el paso de una tarjeta de crédito en tiempo real. Hay utilizado redes inalámbricas para asumir el control de las redes internas y buscar información corporativa”, detalló Bloomberg Businessweek.
El texto de Patrick Clark presentó la historia de tres aparentes viajeros por trabajo que ingresaron a un hotel del centro de una capital europea con el objetivo de hackearlo. Mientras uno hacía el trámite, otro utilizaba una app móvil, Fing, para buscar redes ocultas y el tercero registraba qué tipo de terminales de ventas utilizaba el comercio. Luego se sentaron a compartir un café y abrir el código publicado del sitio del hotel y explotaron la debilidad de un plug-in para armar una lista de administradores de la red.
En lugar de poner una memoria en una registradora a un costado del café, a la que nadie prestaba atención, prefirieron buscar una entrada al sistema de gestión de la propiedad, PMS, que los hoteles emplean para tomar reservas, emitir llaves de las habitaciones y almacenar la información de las tarjetas de crédito. Una vez, en Nueva York, habían sacado el cable de internet del televisor inteligente de la habitación para conectarlo en una laptop, y a partir de ahí habían accedido al PMS. Obtuvieron años de información de tarjetas de crédito en decenas de hoteles.
Los datos de una tarjeta valen USD 20 el mercado negro; era un pequeño tesoro. Pero estos hackers eran consultores de seguridad en una misión: explorar las debilidades de seguridad informática en los hoteles.
A veces una pecera conectada a internet resuelve el asunto; otras veces es el puerto de red instalado en las cortinas que se operan por control remoto, o el minibar inteligente. Mucho más fácil es acceder a las redes para los huéspedes, y a partir de ellas, a los dispositivos de las personas.
“Mark Orlando, director de tecnología en ciberseguridad de Raytheon IIS aconsejó a sus clientes corporativos que simplemente eviten usar sus dispositivos personales cuando viajan. Eso puede implicar llevar una laptop prestada o un teléfono prepago desechable. Aun los viajeros ordinarios deberían usar redes privadas virtuales (VPN) para conectarse a internet en el camino”, señaló la nota.
Uno de los casos más conocidos fue el ataque masivo que Marriott descubrió en septiembre de 2018, cuando una herramienta de seguridad detectó una búsqueda sospechosa en la base de datos de Starwood, una empresa que Marriott había comprado poco antes.
Al investigar encontraron un troyano de acceso remoto (RAT) que permitía que los hackers asumieran el control de algunas máquinas, además de otro malware que rastreaba la memoria de la computadora en busca de nombres de usuario y claves. Se estimó que así se robaron 383 millones de registros de huéspedes, más de 5 millones de números de pasaportes y más de 9 millones de números de tarjetas.
“Hay una cuestión estructural”, observó Bloomberg. “Las empresas como Marriott y Hilton tienen la responsabilidad de asegurar las bases de datos que acumulan reservas e información de programas de fidelidad. Pero la tarea de proteger las cerraduras electrónicas o la red wifi para clientes no cuenta con el apoyo de los inversores dueños del hotel. Muchos de ellos operan con pequeños márgenes y prefieren gastar dinero en cosas que sus clientes realmente ven, como alfombras nuevas o televisores de última generación”.
El resultado es un ecosistema tecnológico desordenado, que corre sobre un software antiguo como Opera, que muchos hoteles utilizan como PMS. Peor aun, “muchos hoteles ponen sus PMS en línea, y permiten que los hackers ingresen desde miles de kilómetros” como dijo a la publicación Joshua Motta, fundador del ciber asegurador Coalition, “de pronto todo el sistema tiene por única seguridad un nombre de usuario y una clave”. O sea, peligrosamente poco.
A la vez, los hoteles construyen inmensas bases de datos sobre el comportamiento de las personas. “En algunas propiedades, las marcas hoteleras ya coleccionan datos sobre la temperatura en que alguien prefiere su habitación o en qué punto le gustan los huevos, apostando a que saber eso se puede traducir en un servicio mejor”.
Los administradores de los hoteles argumentan que la información que guardan no suele ser sensible: si alguien prefiere almohadas de pluma, o si le gusta alojarse cerca del ascensor, o en un piso alto. Y enfatizaron que no guardan otros datos, por ejemplo si alguien aparece acompañado por otra persona, o si se trata de alguien con quien está casado o no.
Sin embargo otra información avanza sobre territorios intermedios: a qué conferencias anuales asiste alguien, cuándo celebra el aniversario de boda. Y algunas firmas ya experimentan con asistentes de voz en las habitaciones o el reconocimiento facial para hacer más sencillo el ingreso. Cada vez es más común que los viajeros puedan completar su check-in desde una app y, sin pasar por la recepción, puedan ingresar a sus habitaciones empleando sus teléfonos como llave electrónica.
Los técnicos de seguridad que buscaban fallas en el hotel de Europa utilizaron el acceso wifi de un celular para crear una red inalámbrica a la que le pusieron el nombre del hotel: en pocos minutos ya se habían conectado seis dispositivos de los alrededores. Si hubieran sido ladrones, habrían empleado un Wi-Fi PineAP, que automatiza el proceso al instalarse como intermediario entre la red y los dispositivos que se quieren conectar a ella.
Otra posibilidad, por último, es emplear un ataque de denegación de servicio distribuido (DDoS) para sacar de la red del hotel a un dispositivo determinado; a continuación, se puede engañar a ese aparato para que se una a la red falsa, y listo: se accede a toda la información de, por caso, la tableta de una viajera.
MÁS SOBRE ESTE TEMA:
Carding: alertan por ciberestafas con cargos de Netflix o Uber
FUENTE: INFOBAE NOTICIAS
Sé el primero en comentar en"Por qué los datos de los huéspedes son más vulnerables en los hoteles"