A medida que la industria de viajes se recupera de la pandemia, es cada vez más blanco de amenazas automatizadas: el sector recibió casi el 21 % de todas las solicitudes de ataques de bots el año pasado. Así lo afirma un estudio de Imperva, una empresa de Thales. Informe de bots maliciosos 2024Imperva descubre que los bots maliciosos representaron el 44,5 % del tráfico web de la industria en 2023, un aumento significativo con respecto al 37,4 % en 2022.
Se espera que la temporada de viajes de verano y los principales eventos deportivos europeos generen una mayor demanda de vuelos, alojamiento y otros servicios relacionados con los viajes. Como resultado, Imperva advierte que el sector podría ver un aumento en la actividad de los robots. Se dirigen al sector mediante raspado no autorizado, cambio de asiento, apropiación de cuentas y fraude.
Del scraping al fraude
Los bots son aplicaciones de software que realizan tareas automatizadas a través de Internet. La mayoría de estas tareas, desde indexar sitios web para motores de búsqueda hasta monitorear el rendimiento de los sitios web, son legítimas, pero un número cada vez mayor de ellas no lo son.
Los robots maliciosos participan en una variedad de actividades maliciosas, que van desde ataques de denegación de servicio hasta fraude de transacciones. Estas amenazas automatizadas pueden consumir ancho de banda, ralentizar los servidores e interrumpir las operaciones comerciales, incluso cuando no roban directamente datos confidenciales ni realizan transacciones fraudulentas.
La industria de viajes se ha enfrentado durante mucho tiempo a problemas complejos relacionados con los bots, ya que los actores maliciosos pueden explotar las diferentes formas en que se utiliza la lógica empresarial en las aplicaciones de viajes. Estos son algunos de los métodos más comunes que se utilizan a diario para apuntar a aplicaciones relacionadas con viajes:
- Reducción de precio: Usar bots para agregar información sobre precios, inventario, tarifas con descuento, etc. Las aerolíneas son el objetivo particular del scraping, ya que los bots operados por agencias de viajes en línea (OTA), agregadores y competidores a menudo recopilan datos sin permiso. Como resultado, el gran volumen de bots que extraen información puede distorsionar métricas comerciales críticas, como las proporciones de vistas a libros, e inflar los costos de API. Por ejemplo, una aerolínea tuvo que pagar 500.000 dólares al mes en tarifas de solicitud de API debido a un aumento en el tráfico de robots maliciosos que raspaban su API de búsqueda.
- Rotación del asiento: Usar bots para reservar y cancelar repetidamente asientos de avión o habitaciones de hotel, creando una retención temporal del inventario sin que se realice una compra real. Esta actividad crea falsamente una escasez, haciendo que parezca que hay menos asientos o habitaciones disponibles. Por lo tanto, engaña a los clientes y puede hacer subir los precios debido a la percepción de una alta demanda. Esta escasez artificial puede provocar una mala gestión del inventario, lo que dificulta que los clientes legítimos encuentren y reserven asientos o habitaciones disponibles. Como resultado, las agencias de viajes pueden sufrir pérdidas de ingresos, ya que los clientes genuinos se ven disuadidos por la falta de disponibilidad o los precios inflados causados por una demanda falsa. La rotación de asientos también interrumpe las operaciones normales de aerolíneas y hoteles, lo que genera ineficiencias y mayores costos operativos asociados con la gestión y el seguimiento de estas actividades fraudulentas. Este deterioro de la experiencia del cliente puede generar frustración, ya que los clientes reales tienen dificultades para encontrar y reservar asientos o habitaciones.
- Adquisición de cuenta: En 2023, la industria de viajes experimentó el segundo mayor número de intentos de apropiación de cuentas (ATO), con el 11 % de todos los ataques ATO dirigidos a la industria y el 17 % de todas las solicitudes de inicio de sesión asociadas con ATO. Los ciberdelincuentes se dirigen a este sector debido a la valiosa información personal, los métodos de pago almacenados y los puntos de fidelidad en las cuentas de los usuarios, lo que los hace lucrativos para el robo de identidad y el fraude. Las transacciones de viajes de alto valor y urgentes permiten una rápida monetización, a menudo antes de que se detecte el fraude, lo que genera pérdidas financieras, pérdida de confianza de los clientes y daños a la reputación empresarial. Además, combatir la ATO requiere importantes recursos para atención al cliente, reembolsos y mejoras de seguridad. Los sistemas interconectados del sector y los numerosos puntos de entrada exacerban aún más su vulnerabilidad.
No todos los robots son iguales
Imperva clasifica la actividad de los bots maliciosos en tres categorías: simple, moderada y avanzada. Al conectarse desde una única dirección IP asignada por el ISP, los robots de malware simples se conectan a sitios o aplicaciones mediante scripts automatizados sin informarse como navegadores. Los robots de malware moderados utilizan un software de “navegador sin cabeza” que simula la tecnología del navegador, incluida la capacidad de ejecutar JavaScript. Los robots de malware avanzados imitan el comportamiento de los usuarios humanos, como los movimientos y clics del mouse, para falsificar la detección de bots. También utilizan software de automatización del navegador o malware instalado en navegadores reales para conectarse a sitios.
Los bots de malware simples a menudo realizan actividades básicas de web scraping, mientras que los bots de malware avanzados pueden ser necesarios para intentos de fraude y apropiación de cuentas más sofisticados. La industria de viajes está particularmente afectada por la actividad de bots avanzados, que representó el 61% de la actividad de bots el año pasado. El tráfico de bots maliciosos avanzados plantea un riesgo importante porque estos bots pueden lograr sus objetivos con menos solicitudes que los bots maliciosos simples y son mucho más persistentes.
Los operadores de bots sofisticados suelen utilizar técnicas comunes a los bots de malware moderados y avanzados para evadir la detección. Estos robots evasivos utilizan tácticas complejas como rastrear direcciones IP aleatorias, ingresar a través de servidores proxy anónimos, superar desafíos CAPTCHA, etc. para evitar las soluciones de gestión de bots.
Defensas superpuestas
En 2023, los bots representarán casi la mitad del tráfico total en la industria de viajes. Esta situación podría empeorar a medida que aumenta la demanda de viajes por parte de los consumidores y los operadores de bots apuntan a programas de recompensas de fidelidad, llevan a cabo ataques de apropiación de cuentas o cometen fraude. Para mitigar estas amenazas, Imperva recomienda varias estrategias para los equipos de seguridad de TI.
Las empresas primero deben identificar los riesgos con análisis de tráfico avanzado y detección de bots en tiempo real. Comprender la exposición es fundamental, especialmente cuando se trata de funciones de inicio de sesión, ya que son objetivos principales para el robo de credenciales y los ataques de fuerza bruta. Una estrategia de seguridad integral debe abarcar todos los puntos de contacto digitales, incluidas las API y las aplicaciones móviles.
Imperva ofrece varias soluciones rápidas, como bloquear versiones obsoletas de navegadores, restringir el acceso a centros de datos IP de forma masiva e implementar estrategias para detectar signos de automatización, como interacciones inusualmente rápidas. Monitorear periódicamente las anomalías del tráfico, como altas tasas de rebote o picos repentinos, puede ayudar a identificar la actividad de los bots maliciosos. Además, analizar fuentes de tráfico sospechosas, como direcciones IP únicas, puede proporcionar información valiosa.
A medida que avanza la tecnología de los bots, especialmente con la IA, resulta cada vez más difícil distinguir el tráfico bueno del malo. Por lo tanto, Imperva aboga por defensas de múltiples niveles, incluido el análisis del comportamiento del usuario, la elaboración de perfiles y la toma de huellas dactilares, como medidas esenciales para la industria de viajes.