Más de 20 cadenas hoteleras que operan en Latinoamérica, Europa y Asia fueron infectadas con “troyanos” para robarles los datos financieros de sus huéspedes, en una campaña de ataques informáticos que está activa desde hace al menos cinco años.

La operación cibercriminal, bautizada “RevengeHotels”, tiene en la mayoría de los casos estudiada “la motivación de conseguir tarjetas de crédito de alto perfil”, por lo que sus responsables “atacan hoteles donde se aloja la gente que maneja grandes recursos”, dijo Dmitry Bestuzhev, jefe de Investigación y Análisis del Equipo Global de Kaspersky para Latinoamérica.

A través de distintos tipos de malware, quienes llevan adelante esta operación infectan las computadoras y equipos de los hoteles desde donde se administran las reservas y se gestionan los pagos.

“Es difícil saber cuántos son los afectados, porque tenemos una visión parcial, pero hemos encontrado ataques a más de 20 marcas o cadenas hoteleras”, detalló el especialista de la empresa de ciberseguridad rusa.

El principal vector de ataque de esta campaña es el envío de correos electrónicos que contienen como adjuntos documentos maliciosos de Word y Excel o archivos PDF, que al cliquearlos inician la descarga del malware que infecta el sistema.

Al momento, “los clics que se hicieron en los enlaces maliciosos son 1.452”, lo que puede traducirse en igual número de descargas de malware, sostuvo Bestuzhev, aunque aclaró que “sabemos que son blancos de ataques, pero no podemos decir si efectivamente han sido víctimas o no”.

La Argentina se ubicó en el cuarto lugar de los países más afectados, con 35 infecciones, aunque lejos de Brasil que registró 1.047, según la investigación, que colocó en segundo puesto a Estados Unidos (60) seguido por Portugal (59).

Es que la seguridad de los sistemas informáticos hoteleros suele depender de cada hotel.

“Algunos han tomado medidas importantes, otros no tanto. Yo he sido víctima de una clonación de tarjeta de crédito en un hotel en Brasil. Lo sé porque durante el viaje usé la tarjeta una sola vez para pagar la cuenta de ese hotel y me di cuenta de que no tenía una gran seguridad. Esto fue el preámbulo de la investigación”, recordó.

Cada uno de estos correos que contienen los archivos maliciosos son mensajes de phishing -como se llama a los engaños de suplantación de identidad- diseñados con especial atención a los detalles, con “una elaboración espectacular”, en los que se usaban datos reales, explicó el investigador de Kaspersky.

En los mensajes investigados los cibercriminales usaron trucos como hacerse pasar por miembros de organizaciones legítimas que hacían una solicitud de reserva falsa para la estadía de una delegación oficial o de un grupo numeroso de personas.

Según la investigación, que será publicada este jueves, incluso las personas cuidadosas podrían ser engañados para abrir y descargar archivos adjuntos de esos correos electrónicos que incluían una gran cantidad de detalles (como copias de documentos legales para reservar en el hotel) y parecían convincentes.

Bestuzhev también señaló que cuando los autores de esta campaña exfiltran la información de los equipos infectados, usan nombres de dominios parecidos al de empresas reconocidas, por lo que si se mira sin detenimiento no se detecta ninguna anomalía.

Si bien se desconoce la autoría de los ataques, el código del malware usado tiene pasajes escritos en portugués, por lo que los investigadores sospechan que se trata de actores de Brasil. Además, hay un elevado número de víctimas en ese país.

“Al principio trabajaban solo en Brasil. Cuando vieron que tenían éxito comenzaron a expandirse por Sudamérica y luego por otras regiones”, explicó el investigador a Télam.

Los objetivos de la campaña fueron confirmados en Argentina, Bolivia, Chile, Costa Rica, Francia, Italia, México, Portugal, España, Tailandia y Turquía, detalló Kaspersky.

Lo más probable, sostuvo Bestuzhev, es que estos datos se vendan en los foros del mercado negro, dado que son tarjetas verificadas y que se han usado, aunque también los cibercriminales “venden el acceso a los sistemas de los hoteles” como un servicio.