Ya a comienzos de este año, especialistas señalaban la ciberseguridad como un punto de atención clave para el turismo en 2025. Con el avance de herramientas basadas en inteligencia artificial (IA) y la integración creciente de servicios, los ataques cibernéticos se han vuelto más frecuentes. Y el panorama podría empeorar, según advierte Phocuswire.
Andersen Cheng detecta riesgos cibernéticos en múltiples frentes del sector. Al planificar un viaje, por ejemplo, prefiere escribir manualmente la dirección del sitio web, evita hacer clic en enlaces de Google y nunca guarda los datos de su tarjeta de crédito.
Como CEO de Post-Quantum, una empresa especializada en ciberseguridad, su comportamiento cauteloso no sorprende. Sin embargo, este nivel de precaución también está siendo cada vez más recomendado al público en general, ante la creciente ola de ataques dirigidos al sector de viajes.
LEA TAMBIÉN
Expertos, incluido el propio Cheng, alertan que la rápida evolución de la tecnología y la distribución digital no solo anima a los ciberdelincuentes, sino que también está sofisticando los ataques, lo que podría convertirse en una “amenaza existencial” en un futuro próximo.
Las estafas ya forman parte de la rutina de muchas agencias de viaje online (OTA) y cadenas hoteleras. Un ejemplo recurrente son los correos electrónicos de phishing, que imitan a remitentes confiables y exponen a los consumidores a riesgos. Según el Informe de Hospitalidad 2024 de Adyen, cerca del 71% de los huéspedes manifiestan preocupación por fraudes al momento de reservar.
Airbnb identifica como estafas más comunes en el Reino Unido los fraudes con tarjetas de crédito, intentos de phishing y engaños relacionados con viajes. La pérdida promedio por víctima asciende a £1.937, según un relevamiento de la plataforma, que lanzó en febrero una campaña de concientización junto a Get Safe Online.
La compañía también advierte sobre el uso creciente de la IA por parte de los delincuentes, con casi dos tercios de los adultos británicos encuestados sin poder reconocer imágenes falsas generadas de propiedades.
Ciberseguridad más allá de la IA
La inteligencia artificial se ha vuelto protagonista en el campo de la ciberseguridad. Booking.com, por ejemplo, reportó un aumento de entre 500% y 900% en ataques de phishing en el último año, impulsado por la masificación de herramientas basadas en IA. Sin embargo, los desafíos van más allá.
“Muchas de las vulnerabilidades en el sector de viajes aún son clasificadas como ‘fáciles de alcanzar’, es decir, sencillas de localizar y explotar”, afirma Josh Jacobson, director de Servicios Profesionales de HackerOne.
El uso extendido de herramientas automatizadas ha reducido la barrera de entrada para los atacantes, quienes explotan vulnerabilidades como el Cross-Site Scripting (XSS) y los fallos de redireccionamiento abierto, cuya incidencia continúa en aumento.
Mientras que el XSS permite inyectar código malicioso en páginas aparentemente seguras, el redireccionamiento abierto dirige al usuario —sin que lo perciba— a dominios controlados por criminales.
El Identity Theft Resource Center también señala un “aumento significativo” de las fallas de software como causa principal de violaciones de datos. “Estos ataques suelen enfocarse en obtener credenciales legítimas para cometer otros delitos de identidad o ciberataques, permitiendo a los delincuentes robar datos sin activar las defensas de seguridad”, explica James Lee, presidente de la entidad.
Fraudes recurrentes
Para plataformas como Booking.com, es difícil evitar completamente que los clientes sean víctimas de estafas, especialmente en casos de mensajes fraudulentos o anuncios falsos que se originan desde cuentas comprometidas.
Action Fraud, organismo del Reino Unido responsable de denuncias de delitos cibernéticos, emitió en enero una advertencia sobre el envío de mensajes y correos sospechosos desde cuentas de hoteles listados en Booking.com. Entre junio de 2023 y septiembre de 2024, se registraron 532 denuncias, con pérdidas que alcanzan las £370.000.
“La ciberseguridad es una gran preocupación en todos los sectores digitales, y el turismo no es la excepción. En Booking.com somos plenamente conscientes de esta realidad e invertimos constantemente en tecnologías avanzadas, como IA y aprendizaje automático, para detectar y bloquear amenazas antes de que causen daño”, señaló un portavoz de la empresa a Phocuswire.
La OTA afirma que, gracias a sus sistemas robustos y a una acción preventiva constante, los incidentes son raros frente al volumen global de transacciones. “Mantenemos contacto regular con socios y viajeros para informarles y compartir consejos prácticos que los ayuden a mantenerse seguros en línea.”
Vulnerabilidades en la cadena
Con el crecimiento de los canales de reserva, el sector se vuelve más expuesto. “La industria de viajes está muy fragmentada, no solo por el número de proveedores, sino también por el flujo real del proceso”, señala Cheng.
El uso de redes sociales y la diversificación de medios de venta hacen que la cadena de distribución sea aún más vulnerable. Para Lee, del *Identity Theft Resource Center*, los proveedores externos son blancos comunes, ya que tienen acceso a datos de grandes empresas, pero sin el mismo nivel de protección.
Mike Putman, CEO de Custom Travel Solutions, subraya que cada nueva integración tecnológica amplía la superficie de ataque. Cita el caso de Caesars Entertainment, que en 2023 fue blanco de un “ataque de ingeniería social” dirigido a un proveedor de soporte de TI, lo que resultó en el pago de un rescate de US\$15 millones.
HackerOne, por su parte, identificó un aumento del 92% en las vulnerabilidades de redireccionamiento abierto en comparación con su informe anterior, atribuyendo parte del crecimiento a la dependencia de enlaces de afiliados y campañas de marketing.
El riesgo futuro en ciberseguridad
Aunque hoy el uso de autenticación multifactorial y herramientas compatibles con PCI DSS es común, Cheng considera que estas medidas podrían volverse obsoletas ante las amenazas emergentes.
Desde su posición en Post-Quantum, advierte sobre los riesgos de la identificación biométrica en el turismo. “Con los avances en IA y computación cuántica, esto realmente se ha convertido en un gran problema”, afirma.
Cheng también señala la amenaza conocida como *“Harvest now, decrypt later”*, en la que los hackers almacenan datos cifrados esperando a contar con equipos más potentes para descifrar la información.
Propone que el sector adopte el concepto de “atestación” en lugar de “autenticación”. En lugar de escanear un pasaporte al hacer el check-in, el huésped podría presentar información verificada a partir de un documento seguro. “Como auditor informático formado, el Santo Grial es un registro incompleto”, afirma Cheng. “Si una imagen está incompleta, lógicamente y matemáticamente, nunca se podrá completar el rompecabezas.”
Esta idea, ligada al concepto de “identidad descentralizada”, gana fuerza en Europa, mientras que en Estados Unidos acaba de entrar en vigor la ley *Real ID* tras dos décadas de desarrollo.
Booking.com, por su parte, insiste en la importancia de proteger los datos y advierte a los usuarios que nunca compartan información como el número de su tarjeta de crédito por correo electrónico, mensaje de texto o llamada. “Ninguna transacción legítima requerirá que un cliente proporcione datos confidenciales, como información de tarjeta de crédito, por correo, chat, mensaje o teléfono”, concluye la compañía.
(*) Crédito de la foto: Freepik
