E S T U D I O D E C A S O

Aerolínea detiene ataques

automatizados en la web y en móviles
 CADENA DE RELLENO EL CLIENTE: UNA DE LAS 10 AEROLÍNEAS
DE CREDENCIALES MÁS IMPORTANTES
Una de las 10 aerolíneas más importantes del mundo, con unos
ingresos anuales de más de 15 000 millones de dólares y 20 millones
de miembros de programas de fidelización.

Obtener credenciales robadas

DESAFÍO 1: ROBO DE CREDENCIALES
La aerolínea se enfrentaba a dos grandes tipos de ataques en sus
aplicaciones web y móviles. En primer lugar, los atacantes realizaban
ataques de relleno de credenciales, lo que ponía en peligro casi
1000 cuentas de clientes en un solo día.
Seleccionar un sitio objetivo
El relleno de credenciales es un ataque en el que los ciberdelincuentes
prueban a introducir masivamente credenciales que han sido robadas a
terceros en una aplicación de acceso diferente. Dado que los usuarios
reutilizan las contraseñas en diferentes servicios en línea, entre el 0,5 y
el 2 % de las listas de credenciales robadas suelen ser válidas en un
sitio objetivo, lo que permite a los atacantes hacerse con las cuentas
Realizar un Herramienta de ataque de los usuarios.
reconocimiento del
sitio objetivo Cuando los atacantes lograban robar la cuenta de viajero frecuente
de un cliente mediante el relleno de credenciales, los costes para la
aerolínea incluían el reembolso de los puntos de viajero frecuente
robados, así como las tasas de devolución de las transacciones no
autorizadas realizadas con una tarjeta de crédito vinculada a la cuenta.

Incluso los ataques de relleno de credenciales eran costosos para

Utilizar un script
automatizado o una la aerolínea. Cuando un atacante realizaba muchos intentos fallidos
herramienta de ataque de inicio de sesión en la cuenta de un determinado cliente, el cliente
legítimo dejaba de poder acceder a su propia cuenta, lo que le
obligaba a ponerse en contacto con el servicio de atención al cliente.
Esta consecuencia de los ataques de relleno de credenciales creaba
una carga de trabajo para el servicio de atención al cliente,
así como la insatisfacción de los clientes, lo cual era inaceptable
para la aerolínea.
Tráfico proxy
DESAFÍO 2: SCRAPING DE PRECIOS
La aerolínea también se enfrentaba a un problema de scraping en
el que terceras partes, incluyendo agencias de viajes en línea y
competidores, ejecutaban scripts para recopilar datos de las tarifas en
Evitar controles de seguridad tiempo real de aplicaciones para «buscar vuelos» y «reservar ahora».
Estas solicitudes superaban la capacidad del equipo de infraestructura
para atender a los clientes y ralentizaban el sitio para los clientes
legítimos, lo que provocaba malestar.

Aunque la aerolínea estaba asociada con algunas de las agencias de

Robo de cuentas y activos viajes en línea, algunas actuaban de mala fe e infringían los términos
de sus acuerdos de datos. Sin embargo, como la aerolínea no podía
distinguir entre usuarios legítimos y terceros no deseados, no pudo
solucionar el problema.
 Estudio de caso: Aerolínea detiene ataques automatizados en la web y en móviles

LA DECISIÓN
Cuando los bloqueos de cuentas alcanzaron su punto ¿POR QUÉ UTILIZAR SHAPE?
álgido en junio de 2017, la aerolínea sabía que necesitaba
encontrar una solución a los ataques de relleno de La aerolínea seleccionó
credenciales inmediatamente. Como Shape era el único
proveedor que podía detener del todo estos ataques y el 3 Shape por tres razones
fundamentales:
scraping de tarifas, mientras ayudaba a los equipos de
seguridad y fraude a mejorar el retorno de la inversión, la
elección estaba clara. Debido a la urgencia provocada por 1. Protección omnicanal con soluciones
el relleno de credenciales, la aerolínea decidió implantar web, móviles y API
primero Shape Enterprise Defense en sus aplicaciones de
inicio de sesión en la web.
2. Eficacia a largo plazo contra
atacantes sofisticados
RESULTADOS INICIALES:
3. Plataforma holística que permite a
RECUPERACIÓN DE LA INVERSIÓN
los equipos de fraude y seguridad
EN 49 DÍAS
compartir datos
La implantación de Shape tiene dos fases: el modo de
observación y el modo de mitigación. En el modo de
observación, Shape analiza todas las solicitudes entrantes de la aplicación para personalizar su defensa y garantizar el
mejor resultado posible para el cliente. Cuando Shape y el cliente están seguros de que el tráfico legítimo no se verá
afectado, Shape activa el modo de mitigación.

Durante el modo de observación de la aerolínea, los ataques de relleno de credenciales representaban más del 90 %
de todo el tráfico de inicio de sesión, como indica el tráfico en amarillo del gráfico de abajo. Tras cuatro semanas de
observación, la aerolínea dio a Shape el visto bueno para activar el modo de mitigación. Inmediatamente se impidió que
los ataques POST de los atacantes llegaran al servidor de origen, impidiendo que se conectaran con éxito.

Los atacantes siempre toman el camino de menor resistencia para optimizar su retorno de la inversión. Por lo tanto,
la gran mayoría de los atacantes que utilizan el relleno de credenciales pasarán a objetivos más fáciles cuando se
les complica poder penetrar una defensa. En consecuencia, en tan solo una semana desde que Shape Enterprise
Defense activara el modo de mitigación, el volumen de intentos se redujo en 5 veces, como se muestra en la caída que
representa el tráfico en rojo de abajo.

SOLICITUDES DE ACCESO DURANTE LOS SEIS PRIMEROS MESES CON SHAPE

400000

350000
Solicitudes de acceso (por hora)

300000

250000
Modo de mitigación
activado
200000

150000

100000

50000

00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:40 00:00
06-16 07-01 07-16 08-01 08-16 09-01 09-16 10-01 10-16 11-01 11-15 12-01

Tiempo (días)

Tráfico humano Ataques detectados Ataques bloqueados

RESULTADOS A LARGO PLAZO:
AMPLIACIÓN A MÓVILES
Por desgracia, «objetivos más fáciles» no significa En consecuencia, la aerolínea pidió a Shape ampliar la
necesariamente objetivos no relacionados. A medida protección a su aplicación móvil nativa. La solución SDK
que los atacantes se fueron dando cuenta de que el sitio de Shape estaba implantada por completo en un mes.
web ya no era una puerta abierta, muchos pasaron a la
El gráfico siguiente también nos muestra que, de nuevo, la
aplicación móvil de la aerolínea.
mayoría de los atacantes pasan rápidamente a objetivos
Como Shape no protegía la aplicación móvil y, por tanto, más fáciles una vez que la defensa resulta demasiado
no proporcionaba visibilidad de su tráfico, la aerolínea fuerte. Cuando quedó claro, tras la implantación en
no conocía la distribución exacta de los ataques. Sin móviles, que ni la web ni los móviles eran una superficie
embargo, tenían otros datos convincentes de que los de ataque penetrable, en diciembre desaparecieron
atacantes se habían trasladado al móvil. prácticamente todos los atacantes, pasando esta vez a
objetivos totalmente diferentes.
Un buen indicador del relleno de credenciales es el índice
de intentos de nombres de usuario inexistentes en la
aplicación de acceso. Como se muestra en el siguiente
gráfico, el número de nombres de usuario inexistentes
probados en la web disminuyó de forma constante
después de la implantación de junio, mientras que
aumentó rápidamente en el móvil.

LOS ATACANTES PASAN PAULATINAMENTE A LOS MÓVILES CUANDO SABEN QUE

LA WEB ESTÁ DEFENDIDA

40 M
Cuentas inexistentes probadas

30 M

20 M

10 M

0 M
Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre

Web Móvil
 Estudio de caso: Aerolínea detiene ataques automatizados en la web y en móviles

RESUMEN:
DEFENSA GLOBAL Y OMNICANAL
Lo más importante para la aerolínea es que, cuando los Cuando los ataques de
ataques de relleno de credenciales cesaron, también lo
hizo el fraude correspondiente. El equipo de seguridad relleno de credenciales
sabía que los atacantes estaban cometiendo fraudes
después de comprometer las cuentas, pero no podían
cesaron, también lo hizo el
vincular los ataques de relleno de credenciales con fraude correspondiente.
el fraude del robo de cuentas. Por primera vez, la
aerolínea tenía una visión completa de su tráfico a
través del panel de datos de Shape, lo que le permitió
correlacionar directamente la reducción de los intentos
de inicio de sesión maliciosos con la reducción de los
robos de cuentas y las pérdidas directas por fraude.

Una vez que Shape demostró su eficacia protegiendo

las aplicaciones de acceso de la aerolínea, esta amplió
rápidamente la protección de Shape a las aplicaciones
web y móviles atacadas por scrapers. Ahora que
la aerolínea ha acabado del todo con los ataques
automatizados, el equipo de seguridad ha liberado a
los empleados a tiempo completo para que se centren
en otras prioridades estratégicas de la empresa.

Shape Security defiende a las empresas más grandes del mundo frente a sofisticados ciberataques
y fraudes. Entre los clientes de Shape se encuentran tres de los cinco bancos más importantes de
Estados Unidos, cinco de las diez principales aerolíneas del mundo, tres de los cinco hoteles más
importantes del mundo y dos de las cinco principales agencias gubernamentales de Estados Unidos.
La empresa ha recaudado más de 100 millones de dólares de Kleiner Perkins, Google Ventures, Eric
Schmidt y otros inversores importantes para desarrollar una plataforma avanzada de web, móvil,
inteligencia artificial y aprendizaje automático para la defensa de aplicaciones a escala global. La
plataforma Shape, cubierta por 50 patentes y más de 100 solicitudes de patentes adicionales, ha
evitado más de 1000 millones de dólares en fraudes en el último año. Shape fue nombrada por la
CNBC como una de las 50 empresas más revolucionarias del mundo. En la actualidad, la red de Shape
defiende 1400 millones de cuentas de usuario frente al robo de cuentas y protege 1000 millones de
dólares de pagos móviles en tiendas de todo el mundo.

shapesecurity.com | sales@shapesecurity.com | +1 (650)-399-0400