Fidelidad a la venta El fraude en los sectores de

retail y hostelería

Volumen 6, número 3

[Estado de Internet] / SeguridadResumen ejecutivo:

[Estado de Internet] / Seguridad

Fidelidad a la venta: el fraude en los sectores de retail y hostelería: resumen ejecutivo 2

Los delincuentes no dudan en usar nuestra fidelidad en nuestra contra.

Como hemos mencionado anteriormente, la reutilización de contraseñas es un problema importante en todos los

sectores. Los programas de fidelización tienen un problema adicional con la percepción. Muchos consumidores

no creen correr un gran riesgo, así que es más probable que utilicen contraseñas poco seguras o fáciles en las

cuentas que utilizan con otra organización. Incluso si no se utiliza su cuenta comprometida para reservar un viaje

o si sus puntos no se gastan en productos, las cuentas en sí son un producto valioso que se puede vender a otros

delincuentes en la Dark Web.

Cuando hablamos de "fidelidad a la venta" en este informe, nos referimos a ello casi literalmente. Si bien es posible

que su fidelidad a un comerciante, una aerolínea o una cadena de hoteles no esté a la venta de forma literal, es muy

posible que la cuenta asociada a un programa de fidelización que utilice sí lo esté.

Jeff Borman, fundador y director de travelINNsights, es nuestro autor invitado de esta edición. Nos ofrece una visión

privilegiada del sector de la hostelería, a menudo gestionado por dueños de franquicias y grandes empresas de

marcas que intentan cuadrar los retornos de inversión al tiempo que protegen sus datos y los de sus clientes.

No se puede hablar de este tema sin abordar lo que realmente ha influido este año: la COVID-19 ha tenido un gran

impacto en los sectores de retail y hostelería.

Dichos sectores, conocidos por su enfoque en el servicio al cliente y la interacción presencial, o crecieron o crearon

varios programas para dar asistencia a sus clientes. Sin embargo, estas medidas, además de extensiones de puntos

en diversos programas de fidelización, bonificaciones, etc., no pudieron detener la caída del negocio durante la

primera mitad del 2020.

Hace veinte años, las marcas más importantes gestionaban hoteles, mientras que en la actualidad gestionan una base de clientes. Un inconveniente de este enfoque que da tan poca importancia a los activos es que las principales empresas hoteleras confían en que los propietarios seguirán invirtiendo en sus hoteles. Las inversiones varían desde la renovación de las instalaciones con nuevos diseños de mobiliario hasta la actualización del software de gestión del hotel. Cuando Hilton lanzó la llave digital en 2016, el primer proceso de registro sin contacto del sector, necesitaba asegurarse de que cada propietario del hotel instalara las cerraduras correctas a las puertas y realizara los procedimientos adecuados del sistema. Las mejoras como estas conllevan grandes gastos, por lo que una empresa como Hilton debe ser muy diligente en la selección de las iniciativas que se van a exigir".

Jeff Borman, fundador y director de travelINNsights

[Estado de Internet] / Seguridad

Fidelidad a la venta: el fraude en los sectores de retail y hostelería: resumen ejecutivo 3

Durante el confinamiento del primer trimestre de 2020, los delincuentes aprovecharon la situación mundial,

distribuyeron listas de combinaciones de contraseñas y se dirigieron a todos los sectores comerciales. Fue

a lo largo de este periodo cuando los delincuentes comenzaron a poner de nuevo en circulación listas de

credenciales antiguas en un esfuerzo por identificar nuevas cuentas vulnerables, lo que llevó a un aumento

en las ventas relacionadas con los programas de fidelización.

A continuación, puede consultar los ataques de Credential Stuffing registrados entre julio de 2018 y junio de

2020, pero eliminamos a un cliente no comercial del conjunto de datos porque su volumen de ataques generaba

mucho tráfico y solo había seis meses de datos disponibles en el momento en que se creó este informe. Lo

primero que hay que destacar es la coherencia de los ataques, independientemente de la línea que siga. Solo en

los sectores de retail, turismo y hostelería juntos se registraron 63 828 642 449 ataques de Credential Stuffing y

más de 100 000 millones en total. Más del 90 % de los ataques en la categoría de comercio se dirigieron al sector

de retail.

Intentos de abuso de credenciales diarios Julio de 2018 - Junio de 2020

0 000 000

100 000 000

200 000 000

300 000 000

1 de julio18

1 de octubre18

1 de enero19

1 de abril19

1 de julio19

1 de octubre19

1 de enero20

1 de abril20

1 de julio20

Todos los sectores verticales Comercio

27 abr. 2019172 497 571

17 sep. 2019189 086 267

14 ene. 2020190 931 368

15 jun. 2020229 552 603

Inte

nto

s d

e in

icio

de

sesi

ón

mal

icio

sos

(en

mill

one

s)

[Estado de Internet] / Seguridad

Fidelidad a la venta: el fraude en los sectores de retail y hostelería: resumen ejecutivo 4

Principales vectores de ataque web dirigidos al comercioJulio de 2018 - Junio de 2020

El Credential Stuffing no es la única forma en la que los delincuentes se dirigen a los sectores de retail, turismo

y hostelería. Estos atacan a las empresas de estos sectores desde su origen mediante ataques de inyección SQL

(SQLi) y la inclusión de archivos locales (LFI). Entre julio de 2018 y junio de 2020, Akamai observó 4 375 711 860

ataques web contra el retail, el turismo y la hostelería, lo que representa el 41 % del volumen total de ataques en

todos los sectores. Dentro de este conjunto de datos, el 83 % de dichos ataques web estuvo dirigido al sector

de retail.

0 B

1 B

2 B

3 B

Vector de ataque

Ata

que

s (m

iles

de

mill

one

s)

78 971%

13 956%

SQLi LFI Carga de archivos maliciosa

XSS RFI Otros

2344 % 1805 % 1181 % 1742 %

[Estado de Internet] / Seguridad

Fidelidad a la venta: el fraude en los sectores de retail y hostelería: resumen ejecutivo 5

Tampoco nos olvidamos de los ataques distribuidos de denegación de servicio (DDoS) en este informe. Este tipo

de ataques son el temor de los retailers, ya que si su portal de comercio online colapsa debido a centenares de

paquetes y tráfico malicioso, podría costarles miles de dólares por segundo.

Entre julio de 2019 y junio de 2020, como se muestra en la siguiente gráfica, la categoría de comercio se enfrentó

a 125 ataques DDoS, siendo el 90 % de ellos contra las empresas del sector de retail, y el resto contra el turismo

y la hostelería.

Eventos semanales de ataques DDoSJulio de 2019 - Junio de 2020

0

50

100

150

1 de julio

2019

1 de agosto

2019

1 de septiembre

2019

1 de octubre

2019

1 de noviembre

2019

1 de diciembre

2019

1 de enero

2020

1 de febrero

2020

1 de marzo

2020

1 de abril

2020

1 de mayo

2020

1 de junio

2020

Ata

que

s D

Do

S

Todos los sectores verticales Comercio

[Estado de Internet] / Seguridad

Fidelidad a la venta: el fraude en los sectores de retail y hostelería: resumen ejecutivo 6

Akamai garantiza experiencias digitales seguras a las empresas más importantes del mundo. La plataforma inteligente de Akamai en el Edge llega a todas partes, desde la empresa a la nube, para garantizar a nuestros clientes y a sus negocios la máxima eficacia, rapidez y seguridad. Las mejores marcas del mundo confían en Akamai para lograr su ventaja competitiva gracias a soluciones ágiles que permiten destapar todo el potencial de sus arquitecturas multinube. En Akamai mantenemos las decisiones, las aplicaciones y las experiencias más cerca de los usuarios que nadie; y los ataques y las amenazas, a raya. La cartera de soluciones de seguridad en el Edge, rendimiento web y móvil, acceso empresarial y distribución de vídeo de Akamai está respaldada por un servicio de atención al cliente y análisis excepcional, y por una supervisión ininterrumpida, durante todo el año. Para descubrir por qué las marcas más importantes del mundo confían en Akamai, visite www.akamai.com, blogs.akamai.com, o siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en www.akamai.com/locations. Publicado el 20 de octubre.

Los sectores de retail, turismo y hostelería son objeto constante de delincuentes, porque tienen acceso a

activos que se convierten fácilmente en productos. Estos activos pueden ser información personal y financiera,

programas de fidelización de la marca o una combinación de todos ellos.

Algunos de los principales programas de fidelización atacados solo requieren un número de teléfono móvil

y una contraseña numérica, mientras que otros dependen de información obtenida fácilmente como medio de

autenticación. Existe una necesidad urgente de mejorar los controles de identidad y las contramedidas para

prevenir los ataques contra las API y los recursos del servidor.

La constante lucha entre los encargados de la protección de los sectores de retail, turismo y hostelería

y los delincuentes no tiene fin. Es responsabilidad de las propias organizaciones y de sus equipos internos

el sincronizar y trabajar para mantenerse por delante de ellos.

Lea el informe completo[Estado de Internet] / Seguridad, volumen 6, número 3 Fidelidad a la venta: el fraude en los sectores de retail y hostelería

Descargar ahora

https://www.akamai.com/es/eshttps://blogs.akamai.com/eshttps://twitter.com/Akamaihttps://www.akamai.com/es/es/locations.jsphttps://www.akamai.com/es/es/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdf