Los datos de los turistas que se han alojado en hoteles de Latinoamérica y España este verano están en riesgo debido al grupo de amenazas RevengeHotels, que dirige sus ataques contra estos establecimientos para robar la información de las tarjetas de crédito de los huéspedes.
RevengeHotels apareció en 2015 aunque en los últimos años apenas han mostrado novedades. Este año, sin embargo, los investigadores de Equipo Global de Investigación y Análisis de Kaspersky (GReAT) han descubierto una nueva ola de ciberataques vinculada con este grupo, lanzada entre los meses de junio y agosto.
Como informan desde Kaspersky, los hoteles brasileños son el principal objetivo de la nueva campaña, pero esta actividad también se ha extendido a países hispanohablantes como Argentina, Bolivia, Chile, Costa Rica, México y España. A comienzos de este año se observó otra campaña del mismo actor dirigida a usuarios en Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto.
Este regreso de RevengeHotels se ha acompañado de una actualización de sus métodos de ataque, ya que emplean inteligencia artificial para que sean más efectivos. En concreto, utilizan correos de 'phishing' -que suplantan la fuente de origen- que camuflan como una petición de reserva, en los que solicitan a las potenciales víctimas que revisen los documentos adjuntos.
Estos documentos contienen un troyano de acceso remoto (RAT) conocido como VenomRAT, que se instala en los sistemas del hotel, lo que permite a los ciberatacantes controlarlos de manera remota para acceder a los datos de pago de los huéspedes y otra información sensible.
Aunque los correos fraudulentos suelen enviarse a direcciones asociadas a reservas de hotel, también se han detectado en falsas solicitudes de empleo, en las que los atacantes envían currículums para intentar explotar posibles ofertas de empleo en los hoteles objetivo. Para realizar la infección, los atacantes se apoyan en servicios de alojamiento legítimos, a menudo registrando dominios con temática portuguesa.
VenomRAT se distribuye en recursos de la 'dark web', con licencias de por vida que pueden alcanzar los 650 dólares, como indican desde Kaspersky. Para realizar la infección, los atacantes se apoyan en servicios de alojamiento legítimos, a menudo registrando dominios con temática portuguesa.
CONSEJOS PARA HUÉSPEDES Y HOTELES
El uso de la IA en esta campaña dificulta la identificación de los correos de 'phishing', lo que pone en riesgo tanto al hotel como a los huéspedes. Al respecto, desde Kaspersky aconsejan a estos últimos el uso de una solución de confianza en sus dispositivos, como Kaspersky Premium, que protege datos personales y de pago durante las transacciones bancarias en línea.
También el uso de una dirección de correo electrónico y un número de teléfono secundarios solo para sus viajes, que ayude a mantener privados los contactos principales, e incluso de una tarjeta de crédito con un límite de menor o de tarjetas virtuales para realizar los pagos.
A ello se une intentar comprobar si el hotel cumple con los principales estándares de seguridad, como ISO o PCI DSS, y realizar una búsqueda en internet de reseñas o noticias recientes del hotel, ya que esto puede ayudarte a conocer la forma en que el establecimiento maneja la seguridad de los datos.
A los hoteles, Kaspersky les recomiendan verificar que su infraestructura cumpla con estándares internacionales de seguridad digital y privacidad de datos y que implementen sistemas de pago con autenticación avanzada como 3D Secure, tokenización o pasarelas seguras para reducir fraudes en transacciones 'online'.
Conviene el uso de cuentas de correo y líneas telefónicas distintas para operaciones internas, reservas corporativas y uso personal de colaboradores con el fin de limitar la exposición, a lo que se suma mantener los sistemas actualizados para evitar que se conviertan en entrada fáciles para los ataques de 'ransomware' o el robo de datos.
Las noticias sobre el hotel, las reseñas y los comentarios compartidos en foros pueden ayudar a anticipar riesgos de desinformación o ataques reputacionales. También hay que formar al personal para que pregunte y notifique actividades sospechosas como correos extraños, solicitudes inusuales de datos de clientes o comportamientos anómalos en sistemas.
