Su cena está cancelada: cómo los bots están ocupando mesas en restaurantes

La empresa DataDome , especializada en soluciones de ciberseguridad y lucha contra bots, analizó la seguridad de los sistemas de reserva de restaurantes más populares y encontró vulnerabilidades críticas. Su informe fue publicado justo antes de la Semana de los Restaurantes en Nueva York, que se extiende hasta el 9 de febrero. Sin embargo, el problema va mucho más allá de Estados Unidos: festivales gastronómicos similares se están llevando a cabo en grandes ciudades de todo el mundo y continuarán hasta marzo.

Los analistas estudiaron los principales servicios de reserva de mesas, como Resy, Open Table, Yelp Guest Manager, Toast y Tock, utilizados diariamente por millones de personas. Lo que descubrieron generó gran preocupación: ninguno de estos servicios es capaz de resistir los ataques de bots automatizados, lo que afecta tanto a los establecimientos como a sus clientes.

El principal problema radica en que los sistemas no diferencian entre bots y usuarios reales cuando se crean cuentas falsas. Los programas automatizados superan fácilmente las verificaciones, y el sistema no detecta comportamientos anormales, incluso cuando son evidentes. Los bots reservan mesas sin restricciones, y los mecanismos de seguridad no identifican ninguna actividad sospechosa.

Durante las pruebas, los especialistas de DataDome realizaron experimentos para evaluar el alcance real de la amenaza. Descubrieron que los estafadores pueden reservar tantas mesas como deseen, ya sea para dos personas o para grupos grandes. Además, logran hacerlo en cuestión de minutos o planificar reservas con días de antelación. Aunque el 40% de los sitios intentan detectar programas maliciosos, sus defensas no son efectivas contra cuentas falsas ni ataques de fuerza bruta.

Una amenaza adicional es el ataque conocido como credential stuffing: los hackers utilizan combinaciones de nombres de usuario y contraseñas robadas y, con la ayuda de bots, intentan acceder a cuentas existentes. Los programas prueban metódicamente diferentes combinaciones hasta encontrar coincidencias. Una vez que acceden a una cuenta, los atacantes crean múltiples perfiles falsos para usarlos en caso de que la plataforma refuerce su seguridad.

Los datos sobre los mecanismos de seguridad en los servicios de reserva son desalentadores: solo el 20% de los sitios utiliza CAPTCHA para bloquear acciones automatizadas, el 40% solicita confirmar el correo electrónico o introducir contraseñas de un solo uso al registrarse o iniciar sesión, y solo uno de cada cinco servicios ha implementado autenticación de dos factores.

Los estafadores sortean fácilmente todas las verificaciones de registro usando trucos simples. Con frecuencia, registran buzones de correo temporales, crean alias o manipulan cuentas de Gmail. Por ejemplo, basta con mover un punto en la dirección de correo electrónico para que el sistema lo perciba como un nuevo correo, aunque toda la correspondencia llegue al mismo buzón.

La situación se ha vuelto más peligrosa desde que muchos servicios empezaron a requerir datos de tarjetas bancarias para confirmar reservas. Ahora los estafadores no solo tienen acceso a los datos personales de los usuarios, sino también a sus finanzas, incluyendo tarjetas y programas de bonificación de los restaurantes.

Una estrategia fraudulenta cada vez más común es el scalping: la compra masiva de mesas en restaurantes populares para revenderlas. Los bots reservan automáticamente mesas en locales prestigiosos, especialmente cuando la demanda es alta. Luego, los estafadores venden las reservas en el mercado negro a precios inflados o exigen dinero a los clientes para liberar una mesa específica. También han aumentado los casos en los que los estafadores cancelan reservas de otros usuarios para capturar las mesas liberadas con programas automatizados.

El problema ha crecido tanto que las autoridades de Nueva York aprobaron una ley especial: el Restaurant Reservation Anti-Piracy Act.

Lo más alarmante es que los especialistas realizaron sus pruebas usando herramientas básicas: un framework público para crear bots sin ajustes ni optimización. Esto sugiere que los delincuentes con tecnologías más avanzadas y programas personalizados podrían causar un daño mucho mayor a los sistemas de reservas.

Los expertos de DataDome han elaborado recomendaciones para protegerse contra estos ataques. En primer lugar, las plataformas deben implementar sistemas de seguridad modernos capaces de identificar y bloquear amenazas en tiempo real. Es crucial reforzar la verificación de nuevos usuarios, exigiendo la confirmación de correos electrónicos, el uso de contraseñas de un solo uso y la autenticación de dos factores para cualquier acción en la cuenta.

Las plataformas deben detectar patrones de reserva inusuales, como intentos de reservar muchas mesas en poco tiempo, reservas en diferentes fechas o una actividad excesiva desde una sola cuenta. Al identificar estas acciones, el sistema debería bloquear automáticamente las transacciones sospechosas y realizar verificaciones adicionales.