domingo, 14 de febrero de 2010

Hospedaje Costoso.


“¿Desea reservar con su tarjeta, señor?” Es la típica pregunta que nos hacen al apartar un par de días en nuestro destino preferido. Y más allá del costo del cuarto, podría haber costos inesperados, tal cual lo expone un artículo donde se nos dice que las redes y sistemas de hoteles fueron los más atacados por crackers en 2009. ¿Cómo puede ser?

En primera instancia debemos tomar este reporte con cautela. El equipo de SpiderLabs de la empresa Trustwave recolectó información de investigaciones de intrusiones a sistemas y redes llegando a los siguientes porcentajes:

· Ataques en hoteles: 38%

· Ataques en servicios financieros: 19%.

· La lista sigue con el resto de ataques en otros sectores.

Lo que llama la atención es que el primer sector atacado no son los servicios financieros, sino el sector “turismo” representado básicamente por hoteles.

El reporte se basa en investigaciones de intrusiones de una muestra de 218 reportes. Pienso que los resultados se pudieron ver afectados por varias cuestiones como el tamaño de la muestra, también por cómo se obtuvieron los resultados –reportes- y finalmente por los lugares específicos donde fueron recolectados los datos. Sin embargo no es muy descabellado pensar que la infraestructura hotelera es un blanco suculento. E independientemente de las cifras, creo que los atacantes ya voltearon hacia la hospitalidad que ofrecen los hoteles.

¿Por qué los hoteles? Una importante cantidad de hoteles reciben tarjetas (crédito y hasta débito) de sus clientes y muchas veces las guardan en sus sistemas para no “molestar” al cliente en subsecuentes cobros o en el check-out.

Sin embargo, una de las principales razones de almacenar tarjetas sucede al momento de hacer reservaciones por Internet o al llamar al fron-desk. Se nos pedirá un número de tarjeta para hacer la reservación y al final es posible pagar con ésa o brindar otra. Hacer la reservación se traduce en que el hotel debe de guardar la información en sus sistemas aunque a los huéspedes no les queda claro por cuánto tiempo se quedan guardados estos datos (¿por siempre?). Estas son sólo algunas razones por las cuales estas tarjetas se almacenan en varios sistemas de cómputo hoteleros.

Finalmente, sabemos que donde hay dinero habrá gente que desee extraerlo, o mejor dicho, robarlo. A diferencia de otras infraestructuras de TI de diferentes empresas e instituciones, podemos pensar que la de muchos hoteles estarán lejos de ser unas fortalezas. A comparación de otras infraestructuras comerciales, carecerán de muchos controles de TI y de seguridad, sin mencionar procedimientos y “security awareness” entre otras cuestiones orientadas a proteger la información que en este caso, se centra en números de tarjetas.

No es de sorprender que se lleguen a atacar estos sistemas de algunos hoteles dada la facilidad inusual para extraer $$$. Después de haber leído esto ya no veremos con los mismos ojos la reservación que lleguemos a hacer en un futuro en donde haya un número de tarjeta de por medio.

4 comentarios:

android dijo...

Muyyy interezante la nota la verdad, fijate que tenes el contenido duplicado. tenes 2 veces la nota de corrido

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Muchas gracias por la observación, supongo que fue error de dedo o error de capa 8! De nueva cuenta gracias por el comentario y la observación. Saludos!

Diegoibellini dijo...

De nada, la verdad que es muy interezante las cosas que publicas y miro a diario el mismo para ver nuevas notas, este año empiezo mi carrera de seguridad informatica probablemente arrancando con la certificacion CISSP, y bueno despues si me engancho en el tema seguir adelante en el tema.
Espero sigas publicando cosas interezantes e entretenidas como estas =)
PD: El Android soy yo :P es que quedo ese tag por la comunidad de android en la que estoy =)

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Perfecto, de nuevo muchas gracias y estamos en contacto por si te puedo ayudar en algo.