A medida que la industria de viajes se recupera después de la pandemia, se ve cada vez más atacada por amenazas automatizadas: el sector experimentó casi el 21 % de todas las solicitudes de ataques de bots el año pasado, según una investigación de Imperva, una empresa de Thales. Informe sobre bots maliciosos de 2024Imperva descubrió que los bots maliciosos representaron el 44,5 % del tráfico web de la industria en 2023, un aumento significativo respecto del 37,4 % en 2022.
Se espera que la temporada de viajes de verano y los principales eventos deportivos europeos impulsen una mayor demanda de vuelos, alojamiento y otros servicios relacionados con los viajes. Como resultado, Imperva advierte que la industria podría experimentar un aumento en la actividad de bots. Estos bots atacan a la industria mediante el raspado no autorizado, la manipulación de asientos, la apropiación de cuentas y el fraude.
Del scrapping al fraude
Los bots son aplicaciones de software que ejecutan tareas automatizadas en Internet. Muchas de estas tareas, desde indexar sitios web para motores de búsqueda hasta monitorear el rendimiento de los sitios web, son legítimas, pero cada vez hay más que no lo son.
Los bots maliciosos participan en diversas actividades maliciosas, desde ataques de denegación de servicio hasta fraudes transaccionales. Estas amenazas automatizadas pueden consumir ancho de banda, ralentizar servidores e interrumpir operaciones comerciales incluso cuando no roban directamente datos confidenciales ni realizan transacciones fraudulentas.
El sector de los viajes lleva mucho tiempo lidiando con problemas complejos relacionados con los bots, ya que los agentes maliciosos pueden aprovechar las distintas formas en que se utiliza la lógica empresarial en las aplicaciones de viajes. Estas son algunas de las formas más comunes en que las aplicaciones relacionadas con los viajes son atacadas a diario:
- Raspado de tarifas: El uso de bots para agregar información sobre precios, inventarios, tarifas con descuento y más. Las aerolíneas son el objetivo principal del scraping, ya que los bots operados por agencias de viajes en línea (OTA), agregadores y competidores a menudo recopilan datos sin permiso. Como resultado, el alto volumen de bots que extraen información puede distorsionar métricas comerciales críticas como las proporciones de búsqueda y reserva e inflar los costos de API. Por ejemplo, una aerolínea incurrió en $500,000 por mes en tarifas de solicitud de API debido a un aumento en el tráfico de bots maliciosos que extraen su API de búsqueda.
- Asiento giratorio: El uso de bots para reservar y cancelar repetidamente asientos de aerolíneas o habitaciones de hotel, creando una retención temporal en el inventario sin realizar una compra real. Esta actividad crea una escasez falsa, haciendo que parezca que hay menos asientos o habitaciones disponibles. Como resultado, engaña a los clientes y potencialmente aumenta los precios debido a la alta demanda percibida. Esta escasez artificial puede conducir a una mala gestión del inventario, lo que dificulta que los clientes legítimos encuentren y reserven asientos o habitaciones disponibles. En consecuencia, las empresas de viajes pueden sufrir pérdidas de ingresos, ya que los clientes reales se ven disuadidos por la falta de disponibilidad o los precios inflados causados por la demanda falsa. La rotación de asientos también altera las operaciones normales de las aerolíneas y los hoteles, lo que genera ineficiencias y un aumento de los costos operativos asociados con la gestión y el monitoreo de estas actividades fraudulentas. Este deterioro en la experiencia del cliente puede generar frustración, ya que los clientes genuinos enfrentan dificultades para encontrar y reservar asientos o habitaciones.
- Toma de control de cuenta: El sector de los viajes experimentó el segundo mayor volumen de intentos de robo de cuentas (ATO) en 2023, con un 11 % de todos los ataques ATO dirigidos a este sector y un 17 % de todas las solicitudes de inicio de sesión asociadas a ATO. Los ciberdelincuentes apuntan a este sector debido a la valiosa información personal, los métodos de pago almacenados y los puntos de fidelidad dentro de las cuentas de los usuarios, lo que las hace lucrativas para el robo de identidad y el fraude. Las transacciones de viajes de alto valor y sensibles al tiempo permiten una rápida monetización, a menudo antes de que se detecte el fraude, lo que resulta en pérdidas financieras, daño a la confianza del cliente y daño a la reputación de la empresa. Además, abordar el ATO exige recursos sustanciales para la atención al cliente, los reembolsos y las mejoras de seguridad. Los sistemas interconectados del sector y los numerosos puntos de entrada agravan aún más su vulnerabilidad.
No todos los bots son iguales
Imperva clasifica la actividad de los bots maliciosos en tres categorías: simple, moderada y avanzada. Los bots maliciosos simples se conectan desde una única dirección IP asignada por el ISP a sitios o aplicaciones mediante scripts automatizados sin identificarse como un navegador. Los bots maliciosos moderados utilizan software de «navegador sin interfaz gráfica» que simula la tecnología del navegador, incluida la capacidad de ejecutar JavaScript. Los bots maliciosos avanzados imitan el comportamiento del usuario humano, como los movimientos y clics del mouse, para engañar a la detección de bots. También utilizan software de automatización del navegador o malware instalado en navegadores reales para conectarse a sitios.
Los bots maliciosos simples suelen realizar actividades básicas de raspado de datos web, mientras que los bots maliciosos avanzados pueden ser necesarios para fraudes más sofisticados e intentos de robo de cuentas. La industria de viajes está particularmente plagada de actividad de bots maliciosos avanzados, que representaron el 61% de la actividad de bots maliciosos el año pasado. El tráfico de bots maliciosos avanzados plantea un riesgo significativo, ya que estos bots pueden lograr sus objetivos con menos solicitudes que los bots maliciosos simples y son mucho más persistentes.
Los operadores de bots sofisticados suelen emplear técnicas compartidas entre bots maliciosos moderados y avanzados para evadir la detección. Estos bots evasivos utilizan tácticas complejas como cambiar entre direcciones IP aleatorias, ingresar a través de servidores proxy anónimos, superar desafíos CAPTCHA y más para eludir las soluciones de gestión de bots.
Capas de defensa
Los bots representaron casi la mitad de todo el tráfico dentro de la industria de viajes en 2023. Esa situación podría empeorar a medida que aumenta la demanda de viajes por parte de los consumidores y los operadores de bots apuntan a programas de recompensas de fidelidad, llevan a cabo ataques de apropiación de cuentas o cometen fraudes. Para mitigar estas amenazas, Imperva recomienda varias estrategias para los equipos de seguridad de TI.
En primer lugar, las organizaciones deben identificar los riesgos mediante un análisis avanzado del tráfico y la detección de bots en tiempo real. Comprender la exposición, en particular en torno a las funcionalidades de inicio de sesión, es fundamental, ya que estas son los principales objetivos del robo de credenciales y los ataques de fuerza bruta. Una estrategia de seguridad integral debe abarcar todos los puntos de contacto digitales, incluidas las API y las aplicaciones móviles.
Imperva sugiere varias soluciones rápidas, como bloquear versiones obsoletas de navegadores, restringir el acceso desde centros de datos de IP masivos e implementar estrategias de detección de señales de automatización, como interacciones inusualmente rápidas. El monitoreo regular de anomalías en el tráfico, como tasas de rebote altas o picos repentinos, puede ayudar a identificar la actividad de bots maliciosos. Además, analizar fuentes de tráfico sospechosas, como direcciones IP individuales, puede brindar información valiosa.
A medida que avance la tecnología de bots, especialmente con la IA, será cada vez más difícil distinguir entre tráfico bueno y malo. Por lo tanto, Imperva aboga por defensas en capas, que incluyan análisis del comportamiento de los usuarios, elaboración de perfiles y toma de huellas digitales, como medidas esenciales para la industria de viajes.