Sitios de reserva de viajes afectados por una violación masiva de datos: ¿cómo puede protegerse?

Aranzulla de Los Pobres

Una plataforma de reserva de hoteles ha expuesto los datos de los usuarios junto con los detalles de al menos 10 millones de clientes en todo el mundo. Esto podría afectar a cualquier persona que haya reservado una habitación a través de un sitio de reservas en línea en los últimos siete años.

Esto es lo que necesita saber sobre esta fuga masiva, cómo puede afectarle y qué puede hacer al respecto.

¿Qué sitios de reserva de vacaciones se vieron afectados?

Prestige Software, con sede en España, responsable de un sistema de reservas de hotel, ha estado almacenando incorrectamente varios años de datos de huéspedes en un bucket de AWS S3 mal configurado, un popular recurso de almacenamiento en la nube.

Los usuarios con cuentas en los siguientes sitios deben tomar medidas para proteger sus datos:

  • Agoda
  • Amadeo
  • Booking.com
  • Expedia
  • Hoteles.com
  • Hotelbeds
  • Omnibeds
  • Sable

Más se han visto afectados, pero esos son los de más alto perfil.

Esta no es una lista completa ya que Website Planet , quien expuso la violación de datos, aún no ha revisado todos los datos expuestos, por lo que puede haber más. Esto también podría afectar a otros sitios de reserva más pequeños o menos conocidos que pueden haber utilizado la popular plataforma de reserva de hoteles.

Si viajó en cualquier momento durante los últimos años, revise sus cuentas para ver si hizo alguna reserva en línea y dejó detalles en uno de los sitios afectados.

¿Qué tipo de datos del cliente se expusieron?

Se filtraron al menos 10 millones de archivos de registro que datan de 2013. El bucket de S3 todavía estaba activo y en uso y los nuevos inicios de sesión de clientes aún se registraban horas después de que Website Planet hiciera el descubrimiento.

Entre los datos confidenciales expuestos se encontraba la información de identificación personal (PII), como el nombre completo del cliente, las direcciones de correo electrónico, los números de teléfono, incluso los números de identificación nacional. ¿Alguna vez recuerda haber escrito su número de pasaporte en algún lugar en línea?

Tiene su número de tarjeta de crédito, el nombre del titular de la tarjeta y la fecha de vencimiento y CVV también, junto con otros detalles de pago.

También hay detalles de reservas como fechas de estadía, precio por noche, solicitudes adicionales, número de personas y sí, nombres de huéspedes. Si ha tenido una 'cita' secreta que no querría que nadie conociera, debería estar preocupado.

¿Qué pueden hacer los ciberdelincuentes con su información?

Website Planet se puso en contacto directamente con AWS, quien luego aseguró el bucket de S3 de inmediato. Pero el equipo no puede decir con certeza si alguien más encontró los datos antes que ellos.

Por lo tanto, existe la posibilidad de que su información ya se esté vendiendo en la web oscura mientras lee esto. Debería preguntarse qué pueden hacer los ciberdelincuentes con su información de todos modos.

Además de chantajearlo con la jugosa información que tienen en la mano, datos como este son como una mina de oro para los ciberdelincuentes.

Robo de identidad en línea

Lo primero que nos viene a la mente cuando hablamos de filtraciones de datos es el fraude de identidad.

Los ciberdelincuentes pueden usar su información para abrir nuevas tarjetas de crédito a su nombre o una línea de crédito. Pueden usar sus tarjetas de crédito o débito para realizar compras , o su identidad para alquilar un apartamento. Algunos pueden usar su información para obtener seguro médico o atención médica.

Suplantación de identidad

Los ciberdelincuentes también pueden incluir su correo electrónico en sus campañas de phishing .

Y dado que también tienen su otra información, es decir, datos bancarios, pueden crear un correo electrónico que se vería como algo que recibiría de su banco, completo con su número de tarjeta de crédito. Luego le enviarán enlaces o archivos adjuntos maliciosos para descargar malware en su computadora.

Su información podría usarse para victimizar a sus amigos o colegas fingiendo ser usted y luego comunicarse con todos sus contactos. Pueden engañarlos para que envíen dinero o descarguen un archivo infectado.

Dirigirse a personas adineradas para otras estafas

Los estafadores también pueden dirigirse a clientes que pueden haber reservado habitaciones en hoteles costosos (y por lo tanto tienen más dinero) para estafas o esquemas de extorsión más elaborados.

Gran parte de la información de la filtración de datos se puede utilizar para perfilar a una persona y proporcionar suficiente información para que un ciberdelincuente elabore un ataque de seguimiento de spear-phishing o caza de ballenas.

Adquisición de vacaciones

La fuga de datos incluye toda la información sobre futuras vacaciones. Los ciberdelincuentes pueden usar esto para llamar al hotel y cambiar la fecha y los nombres de la reserva.

Sí, pueden hacerse cargo de sus vacaciones o vender estas reservas a otros.

¿Qué puede hacer si sus datos se han visto comprometidos?

¿Debería preocuparse por esto? Hasta ahora, no se ha informado de ningún delito cibernético que se pueda rastrear hasta la filtración. Pero dado que no hay forma de saber si alguien más encontró los datos expuestos antes de Website Planet, puede ser un blanco fácil en este momento.

Afortunadamente, hay cosas que puede hacer al respecto.

Compruebe si fue parte de la fuga

Es posible que no recuerde haber reservado un viaje en 2013, pero hay una forma de comprobarlo, especialmente a través de su cuenta de Google. Revise su configuración para ver si hay una alerta que diga "problemas críticos de seguridad encontrados". Esto enumerará todos los sitios que están vinculados a su cuenta que pueden haber sido parte de una infracción, incluida esta filtración de datos de viajes.

En esta sección, también puede consultar todos los demás sitios vinculados, como aquellos en los que ha reciclado su contraseña. Reciclar su contraseña nunca es una buena idea, ya que permitirá a los piratas informáticos ingresar a sus otras cuentas simplemente pirateando una.

De lo contrario, puede buscar compromisos de direcciones de correo electrónico utilizando Have I Been Pwned . También vale la pena buscar en su bandeja de entrada los usos históricos de los sitios de reserva.

Cuidado con los correos electrónicos de phishing

Controle su bandeja de entrada y tenga cuidado con los correos electrónicos sospechosos.

Asegúrese de que su antivirus esté actualizado para que pueda detectar malware en archivos adjuntos y enlaces de phishing dentro de los correos electrónicos.

Esté atento a otros correos electrónicos y notificaciones que podrían ser una señal de que alguien más está tratando de crear cuentas con su nombre. Busque correos electrónicos que le avisen acerca de registrarse o que puedan informarle sobre un cambio en sus otras cuentas.

No haga clic en enlaces dentro de correos electrónicos . En su lugar, vaya a sitios web oficiales usando una pestaña, navegador o dispositivo diferente.

Llame a su banco

Vale la pena llamar a su banco para informarles que su cuenta activa podría ser parte de una fuga de datos reciente. Pregúnteles cómo pueden ayudar a proteger su cuenta.

Configure la autenticación de dos factores (2FA) para sus aplicaciones bancarias y otros sitios web donde tenga información confidencial.

Realizar una congelación de crédito

También puede considerar colocar un congelamiento de seguridad en su informe crediticio. Esto dificultará que los ladrones de identidad creen nuevas cuentas o abran una línea de crédito a su nombre.

No, congelarlo no afectará su puntaje crediticio.

RELACIONADO: Cómo prevenir el robo de identidad congelando su crédito

Deshazte de tus cuentas de viaje por ahora

Con los bloqueos actualmente vigentes e inminentes en otras partes del mundo, parece que la gente no viajará tanto en este momento. Considere eliminar sus cuentas de reserva de viajes por un período corto de tiempo y simplemente configure una nueva cuando esté listo para viajar nuevamente.

Controle sus cuentas

Controle sus cuentas de crédito o débito y tenga cuidado con las transacciones fraudulentas. ¿No reconoces una transacción? Póngase en contacto con su banco o

Proteja sus datos

Sus datos son un bien preciado. Sepa que hay personas que pueden intentar apoderarse de ellos por actividades ilegales.

Manténgase siempre informado sobre las violaciones de datos para saber si su información se ha visto comprometida. Y practique la higiene digital eliminando cuentas antiguas o actualizando su configuración de seguridad.