Cada dia s'envien, de mitjana, 3.400 milions de correus fraudulents, sent el phishing la forma més comuna de ciberdelinqüència en l'actualitat. Només en els deu primers mesos de 2023, Kaspersky --multinacional russa dedicada a la seguretat informàtica-- va identificar més de 30 milions d'atacs i és una amenaça constant que va a l'alça. "El crim cibernètic no discrimina", assegura Marnie Wilking, vicepresidenta i Chief Security Officer de Booking.com, en una entrevista a ON ECONOMIA, en la que afegeix que el crim cibernètic i el frau electrònic no són fenòmens nous, ni exclusius de Booking o del sector dels viatges.
Sobre com gestionen les estafes en una plataforma com Booking, Wilking explica que l'empresa ha reforçat les mesures de seguretat, ampliant la capacitat per reduir tant el risc com l'impacte d'aquests atacs i limitant les oportunitats que puguin aprofitar per perjudicar els col·laboradors, apunta. "Amb tots els esforços que hem anat duent a terme, hem observat una caiguda significativa en algunes de les tàctiques que aquests actors maliciosos solien fer servir", reconeix, i posa com a exemple que el 2023 van detectar i van bloquejar 1,5 milions de reserves falses relacionades amb campanyes de phishing. El 2024, aquesta xifra es va reduir a 250.000, la qual cosa suposa una reducció de més del 80% en tot just un any.
"El sector dels viatges és especialment complex i fragmentat, compta amb nombrosos actors i mitjancers, el que genera riscos en diferents punts de la cadena i afecta operadors de totes les mides" adverteix l'experta. De fet, fa tot just uns mesos, Akamai, una de les principals companyies especialitzades en serveis al núvol i ciberseguretat va alertar sobre un atac de phishing massiu, sofisticat i de múltiples fronts dirigit específicament al sector hoteler.
Per fer front a aquest tipus d'atacs, Booking no actua sola. La plataforma forma part del consorci de ciberseguretat per al sector hoteler, el Retail and Hospitality Information Sharing and Analysis Center (ISAC), i treballa mà a mà amb l'organització per mitigar riscos i reduir l'impacte del crim cibernètic en l'àmbit general. "El consorci ens permet connectar amb altres companyies del sector --fins i tot competidors-- per compartir coneixements, bones pràctiques i intel·ligència sobre amenaces en un entorn segur, aferma la directiva.
Sobre el perfil que sol patir més casos d'estafa, Wilking indica que els atacs no es limiten a un segment ni públic específic, ja que, en les seves paraules, els ciberdelinqüents adapten les seves tàctiques per dirigir-se a diferents perfils segons les oportunitats que detecten. "Enfoquem els nostres esforços a educar i protegir tots els usuaris, independentment de la seva edat o experiència digital", aclareix. "Tots sabem que, lamentablement, no existeix una solució màgica que elimini per complet el frau a internet", lamenta la directiva, que confirma que des de Booking fa temps que "realitzen importants inversions" per minimitzar al màxim l'impacte d'aquestes tàctiques de phishing, que no deixen d'evolucionar.
Pel que fa a la protecció de dades, la companyia se sustenta sobre tres pilars: prevenció, detecció i educació. "Situem l'experiència del client en el centre de tot el que fem. Per això, les dades són clau per entendre els nostres clients i col·laboradors, i així poder oferir-los els productes, serveis i el suport que necessiten", reconeix. Així, des del negoci treballen per "trobar formes adequades per gestionar la informació dels usuaris de forma transparent, justa i sota el seu control". Finalment, Wilking afirma que l'estratègia de Booking "combina innovació amb alts estàndards de protecció per anticipar-nos i respondre de manera eficaç a les amenaces".
IA per aturar les ciberestafes
La intel·ligència artificial i l'aprenentatge automàtic s'han convertit en pilars fonamentals de l'estratègia de ciberseguretat de Booking. "Aquestes tecnologies ens permeten analitzar patrons de trànsit, detectar anomalies i bloquejar activitats sospitoses abans que arribin als nostres clients", argumenta Wilking. A més, Booking combina aquestes eines amb la col·laboració d'experts en seguretat a través d'un programa de recompenses per detecció d'errors (bug bounty) per identificar i solucionar possibles vulnerabilitats a la plataforma.
Més enllà d'invertir en tecnologia, l'empresa ha reforçat els seus processos interns i de comunicació amb mesures com l'autenticació en dos passos (2FA), la integració d'IA generativa per vigilar intents d'estafa i l'ús d'algoritmes de machine learning per filtrar missatges de phishing en les converses entre socis i hostes.
A l'extranet, la plataforma també ha incorporat noves capes de seguretat. Així, només els comptes administratius poden crear o modificar plantilles de missatges i s'han implementat llistes blanques de correus i URL. "Una vegada activades aquestes configuracions, qualsevol adreça o enllaç no autoritzat serà bloquejat o eliminat", acaba Wilking.