Como una tendencia mundial, cada vez más viajeros utilizan apps desde sus smartphones, en lugar de sitios web, para reservar vuelos y alojamiento, hacer check-in, compartir actividades e incluso comprar cosas. Sin embargo, a medida que la industria crece, los hackers y estafadores también encuentran más formas de robar mediante las apps de viajes. 

Investigadores en seguridad del portal Security Affairs realizaron auditorías en las principales apps para reserva de viajes. Allí encontraron vulnerabilidades que permitirían a los hackers acceder a datos confidenciales e información personal. Dentro de los datos vulnerables se encuentran las direcciones particulares, números de tarjetas de crédito y cuentas bancarias, teléfonos, usuarios, contraseñas y tokens de sesión, todo lo cual podría representar un riesgo tanto financiero como físico.

Desde Appdome, compañía de desarrollo de software describieron las 4 amenazas más comunes con las que los hackers comprometen las apps de viajes. Así los desarrolladores de estas apps tienen más herramientas de seguridad al planear tus próximas vacaciones: 

Código desprotegido y almacenamiento de datos inseguro

Las apps para reservar utilizan y almacenan datos confidenciales, incluyendo nombres, contraseñas, credenciales y planes de viaje. Desafortunadamente, los hackers saben dónde encontrar esta información sensible utilizando una amplia variedad de herramientas de código abierto. 

Los expertos de Appdome recomiendan a los fabricantes de aplicaciones de iOS y Android, que se protejan contra la ingeniería inversa mediante la ofuscación de código. Esto dificulta que los atacantes accedan o comprendan el código fuente o lean los datos. También es importante implementar un cifrado de datos sólido para proteger la información sensible en todos los lugares donde se utiliza o almacena. 

Ataques dinámicos en tiempo de ejecución

Los atacantes utilizan técnicas dinámicas para analizar o modificar las apps mientras se ejecutan. Lo hacen para comprender cómo interactúa con componentes o sistemas internos y externos. Al hacerlo, pueden comprometer las aplicaciones para robar o recopilar datos utilizados en las transacciones, o incluso modificar los flujos de trabajo sobre la marcha.

Dado que el pago generalmente se realiza con tarjeta de crédito, se recomienda que las aplicaciones de viajes y reservas implementen protección   de   seguridad   en   tiempo   de  ejecución  (RASP). Además de  protecciones antimanipulación, antidepuración y anti-reversión que evitarían que la app sea modificada o manipulada dinámicamente. 

Te puede interesar: WhatsApp lanza funciones para viajes, pagos y otros servicios de empresas

Conexiones inseguras y ataques MitM

Los hackers utilizan muchas técnicas para realizar ataques MitM con el fin de interceptar o robar datos, o incluso hacerse pasar por usuarios o servicios confiables. Muchas apps de viajes utilizan versiones inseguras u obsoletas de HTTP o TLS, que carecen de cifrado suficiente o pueden ser susceptibles a vulnerabilidades de seguridad que permitirían ataques de intermediario.

Los desarrolladores de apps para iOS y Android pueden proteger las conexiones y datos mediante protecciones como la validación de certificados, verificación de CA, detección de proxy malicioso, fijación de certificados y más.

Malware, ataques de superposición, apps falsas y troyanos

El malware está en constante aumento como arma clave para atacar apps móviles. Para ello se utilizan técnicas como inyección de claves, method hooking y ataques de superposición para todo tipo de propósitos maliciosos.

En un ataque de superposición, el perpetrador inserta una pantalla falsa que cubre la interfaz de usuario auténtica. Esta táctica tiene como objetivo engañar al usuario para que interactúe con un malware superpuesto, en lugar de con la pantalla real que queda oculta. La superposición maliciosa puede tomar la forma de un botón, un formulario de datos u otra pantalla en una app.

Está diseñado para parecerse o imitar mucho a la interfaz de usuario real y, por lo general, está oculto por el malware superpuesto malicioso controlado por el atacante. Los ataques de superposición a menudo se combinan con otro malware, aplicaciones falsas, troyanos y registradores de pulsaciones de teclas, que mejoran su eficacia para lograr los objetivos del ciberdelincuente.

Imagen:Victor Larracuente