Ainda no início do ano, especialistas já apontavam a cibersegurança como um ponto de atenção para o turismo em 2025. Com o avanço de ferramentas baseadas em IA (Inteligência Artificial) e integração de serviços, os ataques cibernéticos vêm se tornando mais recorrentes. E o cenário pode piorar, segundo apontado pelo Phocuswire.
Andersen Cheng enxerga riscos cibernéticos em muitas frentes do setor. Ao planejar uma viagem, por exemplo, ele prefere digitar manualmente o endereço do site, evita clicar em links do Google e jamais armazena informações do cartão de crédito.
Como CEO da Post-Quantum, empresa especializada em segurança cibernética, esse comportamento cauteloso é esperado. No entanto, mesmo para o público em geral, esse nível de precaução tem sido cada vez mais recomendado, diante da crescente onda de ataques direcionados ao setor de viagens.
Especialistas, incluindo o próprio Cheng, alertam que a rápida evolução das tecnologias e da distribuição digital está não só encorajando hackers, mas também ampliando a sofisticação dos ataques — o que pode se tornar uma “ameaça existencial” em um futuro próximo.
Golpes já fazem parte da rotina de muitas OTA e redes hoteleiras. Um exemplo recorrente são os e-mails de phishing, que imitam remetentes confiáveis e expõem os consumidores a riscos. Segundo o Relatório de Hospitalidade de 2024 da Adyen, cerca de 71% dos hóspedes demonstram preocupação com fraudes no momento da reserva.
O Airbnb identifica os golpes com cartão de crédito, tentativas de phishing e fraudes em viagens como os mais comuns no Reino Unido. A média de perda por vítima é de £ 1.937, conforme levantamento realizado pela plataforma, que, em parceria com a Get Safe Online, lançou em fevereiro uma campanha de conscientização.
A empresa também aponta para o uso crescente da IA por criminosos, com quase dois terços dos adultos britânicos entrevistados não reconhecendo como falsas imagens geradas de propriedades.
Cibersegurança além da IA
A IA tem se tornado protagonista na cibersegurança. A Booking.com, por exemplo, reportou um aumento de 500% a 900% nos ataques de phishing no último ano, impulsionado pela popularização de ferramentas baseadas nessa tecnologia. Porém, os desafios vão além.
“Muitas das vulnerabilidades no setor de viagens ainda são classificadas como ‘fáceis de alcançar’, ou seja, são simples de serem localizadas e exploradas”, afirma Josh Jacobson, diretor de Serviços Profissionais da HackerOne.
O uso disseminado de ferramentas automatizadas reduziu a barreira de entrada para criminosos, que têm explorado vulnerabilidades como o XSS (Cross-Site Scripting) e falhas de redirecionamento aberto. A incidência desses ataques segue crescendo.
Enquanto o XSS permite a injeção de códigos maliciosos em páginas aparentemente confiáveis, o redirecionamento aberto se dá quando usuários são levados, sem saber, a domínios controlados por criminosos.
O Identity Theft Resource Center também aponta um “grande aumento” nas falhas de software como causa principal das violações de dados. “Esses ataques geralmente visam obter credenciais de login legítimas para cometer outros crimes de identidade ou ataques cibernéticos, permitindo que invasores roubem dados sem acionar as proteções de segurança”, diz James Lee, presidente da entidade.
Fraudes recorrentes
Para plataformas como a Booking.com, é difícil evitar totalmente que clientes sejam vítimas, especialmente em casos de mensagens fraudulentas ou anúncios falsos, muitas vezes originados de contas comprometidas.
A Action Fraud, autoridade do Reino Unido para denúncias de crimes cibernéticos, emitiu um alerta em janeiro destacando o risco de mensagens e e-mails suspeitos enviados a partir de contas de hotéis presentes na Booking.com. Entre junho de 2023 e setembro de 2024, foram registradas 532 denúncias, somando prejuízos de £ 370.000.
“A cibersegurança é uma grande preocupação em todos os setores digitais, e o turismo não é exceção. Na Booking.com, estamos profundamente cientes dessa realidade e investimos continuamente em tecnologias avançadas, como IA e aprendizado de máquina, para detectar e bloquear ameaças antes que elas possam causar impacto”, disse um porta-voz da empresa ao Phocuswire.
A OTA afirma que, graças a sistemas robustos e à atuação preventiva, incidentes são raros diante do volume global de transações. “Mantemos contato regular com parceiros e viajantes para informá-los e compartilhar dicas práticas para ajudá-los a se manterem seguros e protegidos online.”
Fragilidades da cadeia
Com o aumento dos canais de reservas, o setor se torna ainda mais vulnerável. “O setor de viagens é muito fragmentado, não apenas em termos de número de fornecedores, mas também no fluxo real do processo”, aponta Cheng.
O uso de redes sociais e a diversificação dos meios de venda tornam a cadeia mais suscetível a falhas. Para Lee, do Identity Theft Resource Center, fornecedores terceirizados são alvos frequentes por terem acesso aos dados de grandes empresas, mas sem a mesma blindagem cibernética.
Mike Putman, CEO da Custom Travel Solutions, reforça que cada nova integração amplia a superfície de ataque. Ele cita o caso da Caesars Entertainment, que, em 2023, foi alvo de um “ataque de engenharia social” em um fornecedor de suporte de TI, resultando em um resgate de US$ 15 milhões.
A HackerOne, por sua vez, identificou um aumento de 92% nas vulnerabilidades de redirecionamento aberto em relação ao relatório anterior, atribuindo parte do crescimento à dependência de links de afiliados e campanhas de marketing.
O risco do futuro para a cibersegurança
Embora o uso de autenticação multifator e ferramentas compatíveis com o PCI DSS seja comum, Cheng acredita que essas medidas podem se tornar obsoletas diante das ameaças emergentes.
À frente da Post-Quantum, ele alerta sobre os perigos da identificação biométrica no turismo. “Com o avanço da IA e da computação quântica, isso realmente se tornou um grande problema”, afirma.
Cheng também destaca a ameaça conhecida como “Colha agora, decifre depois”, em que hackers armazenam dados criptografados à espera de computadores mais potentes para quebrar a proteção.
Ele defende que o setor adote “atestado” em vez de “autenticação”. Em vez de digitalizar um passaporte no check-in, o hóspede poderia apresentar uma informação verificada a partir de um documento protegido. “Como auditor de informática treinado, o Santo Graal é um registro incompleto”, diz Cheng. “Se uma imagem estiver incompleta, logicamente, matematicamente, você nunca conseguirá completar o quebra-cabeça inteiro.”
Essa ideia, ligada ao conceito de “identidade descentralizada”, vem ganhando espaço na Europa, enquanto nos EUA entrou em vigor a lei Real ID após duas décadas de desenvolvimento.
A Booking.com reforça a importância da proteção de dados e recomenda que clientes jamais compartilhem informações como número do cartão de crédito por e-mail, mensagem de texto ou telefone. “Nenhuma transação legítima exigirá que um cliente compartilhe informações confidenciais, como dados de cartão de crédito, por e-mail, chat, mensagens, mensagens de texto ou telefone”, afirma a empresa.
(*) Crédito da foto: Freepik
