Spoofing que suplanta el correo de un hotel para estafar a sus clientes
¿Qué ha ocurrido?
Desde la 'Línea de Ayuda en Ciberseguridad', recibimos una llamada de un usuario, propietario de un hotel, a raíz de ser víctima de una suplantación de identidad. No dispone de una web propia, si no que alquila habitaciones a través de una plataforma de reserva de alojamiento por Internet, desde donde se comunica con sus clientes.
Nos contó que le había contactado uno de sus clientes afirmándole que habían recibido un correo electrónico suyo con un enlace para que pagara la factura, y quería contrastar con ellos su veracidad, puesto que habían acordado pagar a través de la plataforma.
Los correos parecían reales, además de identificarse como el hotel y tener una apariencia muy similar en cuanto a su imagen, contenían datos de las reservas realizadas por los clientes, como nombre y apellidos.
En ese momento, nuestro usuario empezó a preocuparse, porque sólo se comunica con sus clientes a través de la plataforma y el pago de los servicios los realizan únicamente durante el proceso de reserva de la misma en la plataforma. Nos transmitió su angustia, porque pensaba que algunos de sus clientes podrían haber sido estafados, si habían seguido las instrucciones del correo.
Además de esto, mencionó que, posteriormente le contactó otro cliente que había recibido un mensaje similar a través de WhatsApp, en el que también se suplantaba la identidad del hotel e intentaban que su cliente realizara el pago del alojamiento siguiendo un enlace.
Nos confirmó que, durante el proceso de reserva, solicitan a sus clientes el número de teléfono, por lo que sospechaba que, de alguna forma, las comunicaciones podían haber sido intervenidas.
Debido a lo sucedido, durante el contacto con nuestro equipo, nos transmitió su preocupación por los daños económicos que había podido ocasionar el incidente a sus clientes y por ende, a su imagen como empresa. Decidió contactarnos para que le facilitáramos consejos para evitar futuros incidentes y recuperarse de lo ocurrido.
¿Qué pautas le hemos dado?
Le explicamos que podía haber ocurrido una brecha de seguridad en su correo electrónico o en la plataforma de reserva, y consideramos la posibilidad de que hubiera sido víctima del fraude email spoofing. También, le facilitamos información sobre esta técnica y le indicamos algunas medidas, que tanto él, como sus clientes, debían llevar a cabo.
- Le recomendamos que reportara el incidente en la plataforma, para poder identificar si los ciberdelincuentes habían podido obtener los datos de las reservas de sus clientes, explotando alguna vulnerabilidad.
- A su vez, le aconsejamos cambiar las contraseñas de acceso, tanto del correo electrónico, como de la plataforma, así como del resto de sus sistemas, y como medida adicional, establecer el doble factor de verificación.
- Además, debido a los datos comprometidos y el desconocimiento del alcance de los daños que hubiera podido ocasionar el incidente, le aconsejamos contactar con la AEPD para notificar la brecha de seguridad antes de que pasen 72 horas.
- Le sugerimos comunicar el incidente a sus clientes para que se mantengan alerta y evitar que puedan caer en el fraude.
- Por parte de la empresa, como hotel, al haber sido víctima de una suplantación de identidad, le informamos que es un delito tipificado por ley, y por ello, podían interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- En caso de interponer una denuncia, deberían recopilar todas las evidencias posibles, para lo que le recomendamos utilizar testigos online para el proceso de certificación de pruebas.
- Igualmente, le facilitamos herramientas para analizar los dispositivos donde habitualmente trabajan con el sistema de reservas. Resaltando la importancia de mantenerlos actualizados.
- Para minimizar los futuros daños derivados del incidente, le indicamos revisar la configuración de su correo electrónico por si hubiese alguna intrusión.
- En esta misma línea, le sugerimos examinar los logs de acceso a su correo, para detectar alguno no controlado.
- Además, le alertamos de la importancia de revisar los sistemas de monitorización del servidor de correo, consultando los gráficos o log del tráfico SMTP saliente de la red.
- Le explicamos que si el tráfico es elevado, es probable que el servidor haya sido comprometido, por lo cual debían instalar sistemas de prevención y detección de intrusos para evitar futuros problemas.
Para finalizar, le recordamos que tanto la empresa como sus clientes, pueden contactar con el servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE para resolver cualquier duda, siempre que lo necesiten.