Turismo, un sector en el punto de mira de los ciberdelincuentes
Publicada 17/02/22
Artículo exclusivo para suscriptores Premium
Forma parte de la comunidad de líderes de la transformación positiva de nuestro sector.
Elige el plan que mejor se adapta a ti, y accede a todo nuestro contenido, descárgate nuestras revistas y disfruta de descuentos y otras ventajas en los eventos organizados por Hosteltur.
Datos, el activo codiciado
Custodiar y proteger los datos ya debería formar parte del ADN de la empresa, porque como señala Xavier Ferretjans, abogado especialista en nuevas tecnologías de Binaura-Monlex, “la información es el petróleo del Siglo XXI” y por esa misma razón es un recurso que está en la mira de los delincuentes.
El internet de las cosas, la inteligencia artificial y el big data son nuevas tecnologías que han llegado al turismo para quedarse, porque su uso dota a las empresas de ventajas competitivas en procesos y ventas. Gracias a estas herramientas es posible gestionar un volumen inmenso de información de clientes: desde datos personales y bancarios, hasta preferencias y hábitos en el momento de contratar servicios.
Un ciberataque puede suponer que el delincuente acceda, modifique o destruya información confidencial, que extorsione a los usuarios o que interrumpa la continuidad del negocio, como explican en la Guía de Ciberseguridad para el sector turístico, lanzada en 2021 por el Instituto Nacional de Ciberseguridad (INCIBE) y por la Sociedad Mercantil Estatal para la Gestión de la Innovación y las Tecnologías Turísticas (SEGITTUR).
Una brecha de seguridad puede poner en jaque a una compañía, porque afecta su imagen y sus recursos. Según Kaspersky Lab & Ponemon Institute, el 60% de las pymes víctimas desaparece dentro de los seis meses siguientes al ataque. Para estar protegidos hay que dejar de pensar analógicamente y entender que hoy el negocio está hiperconectado.
Inversión preventiva
Mientras más tecnología adopte una empresa, mayores serán las amenazas, pero no implantarlas para evitar los riesgos no es una opción.
“Todas las empresas son atacadas, sin distinción de tamaño. Cualquier cosa que esté conectada a internet o a la red interna es vulnerable. Hay que ser conscientes de eso, invertir y saber que no tienen un retorno directo. Es una inversión preventiva, a largo plazo, como quien se pone una vacuna para no coger un virus”, explica Jordi Serra, experto en seguridad informática y profesor de la Universitat Oberta de Catalunya (UOC).
“Somos muy reactivos y poco preventivos. Las empresas ven la seguridad informática como un sobrecoste, pero las estadísticas a nivel mundial dicen que entre el 65 y el 70% de los ataques están dirigidos a pymes”, dice Xavier Ferretjans
Según la aseguradora Hiscox, las compañías cibernovatas emplean el 17% de su presupuesto de TI en ciberseguridad, y un 24% las ciberexpertas.
2022, un año para estar atentos
Casi 200 años han pasado desde el primer ciberataque. Corría el año 1834 y en Francia el gobierno tenía el uso exclusivo del telégrafo óptico para transportar información por todo el territorio nacional y hacerlo en pocos minutos. El ataque fue ideado por dos banqueros (los hermanos Blanc), que querían tener información antes que el resto sobre el valor de los bonos. Lo que hicieron fue sobornar a un operador para que introdujera mensajes ocultos sobre los movimientos del mercado del día anterior.
En dos siglos las tecnologías han evolucionado y a la par la sofisticación de las amenazas, pero el objetivo sigue siendo el mismo: datos, para obtener alguna ventaja económica
Durante la pandemia la adopción tecnológica y los ataques se potenciaron, pero “era una tendencia en aumento”, reconoce el profesor de la UOC. Lo que ha ocurrido es que “hemos sido más vulnerables”, porque al teletrabajar hemos pasado de entornos controlados -en el mejor de los casos-, a utilizar ordenadores menos seguros, además de estar expuestos a un mayor tráfico de correos electrónicos.
La previsión de PwC es que el 2022 se convierta en uno de los años “más intensos” y crecerán los ataques que tienen como objetivo los servicios en la nube y los ransomware, los software de la cadena de suministro y el correo corporativo.
Los ataques en auge
El turismo está en la mira porque “es uno de los sectores que mueve más datos de tarjetas de crédito. Si atacas una central de reservas hay una cantidad de información exagerada. También son castigadas por el nivel de digitalización, que ha sido un boom en los últimos 10 años, y porque la interdependencia tecnológica es muy alta. Pero lamentablemente la inversión en seguridad va a la cola”, señala el abogado especialista en nuevas tecnologías.
Cristina Mallén, Business Developer de la empresa de seguridad digital A2Secure, detalla que entre los ataques más comunes que sufre el sector está la Denegación de Servicio (DoS, por sus siglas en inglés), con la que se intenta dejar un servidor inoperativo. En el caso de un hotel, agencia de viajes, aerolínea o cualquier empresa con motor de reserva, lo que hacen los ciberdelincuentes es lanzar muchas peticiones “hasta que por defecto destruye el sistema y se cae”, afectando a la continuidad del negocio.
Las empresas de alojamiento, o todas aquellas que brindan acceso a internet a sus clientes, también pueden ser víctimas del “Dark hotel”, ya que los hackers acceden al wifi y realizan phishing a quienes están conectados a esa red. Lo hacen enviando e-mails simulando ser una entidad legítima y adjuntando archivos infectados o enlaces a páginas fraudulentas. El objetivo es el robo de datos.
Otro de los métodos de fraude es el ransomware, para hacer una extorsión 2.0. El procedimiento es el mismo que el anterior pero el troyano lo que hace es secuestrar el dispositivo. “Una vez abierto (un archivo o web) recuperan todos los datos que puedan chantajear: documentos, diseños, ofertas, contabilidad, fotos, todo. Y lo que hacen al final es cifrar los discos, las copias de seguridad y luego pedir un rescate”, detalla Jordi Serra.
Una empresa puede ser vulnerable incluso cuando sus “ciberdefensas” sean buenas, porque los hackers encuentran nuevas vías de acceso a través de terceros. El profesor de la UOC señala que “muchas veces atacan a través de proveedores o clientes”. Los casos más frecuentes tienen que ver con la suplantación de identidad y las facturas falsas.
La advertencia del abogado Xavier Ferretjans es verificar que los proveedores aplican medidas, porque “si tienen una brecha de seguridad, y resulta que no hacían bien las cosas, eres responsable indirecto, ya que al contratar con una empresa que no cumple pones en peligro información y datos de clientes”.
Reputación en riesgo
Un ciberataque no es solo robo de datos o paralización de las ventas, cuando hay una fuerte apuesta por el e-commerce. También puede afectar la prestación del servicio, sobre todo a partir de la domotización adoptada por alojamientos y establecimientos turísticos.
Para tomar dimensión hay que imaginar qué puede ocurrir en un hotel si desde sus ordenadores se controlan las puertas de acceso, las tarjetas de las habitaciones, las cámaras de vigilancia, los sistemas para el control de stock, las alarmas de incendio o la calefacción. Si un delincuente cifra los dispositivos toda la operativa puede quedar bloqueada, el servicio arruinado y la imagen de marca devaluada.
“El escenario más temido es la parada del negocio, pues afecta a los ingresos y a la relación con el cliente. Un componente imprescindible del plan de seguridad lo constituyen los planes de continuidad, que establecen cómo organizarse y actuar para minimizar el impacto en ingresos y en la experiencia del cliente”, dice Marcos Pomar, IT & Data Governance Director de Meliá Hotels International.
Los impactos del e-crimen
Por un ciberataque son miles de euros los que se pierden, porque las empresas dejan de ingresar si venden online y “también por lo que tardan en recuperar todos los sistemas”, observa Jordi Serra.
Hay quienes es-timan que la pérdida oscila entre un 2 y un 4% de la facturación y Nuvix Consulting detalla que para una pyme puede significar entre 3.000 y 75.000 euros
Más allá del golpe al negocio, la filtración de información confidencial puede provocar la ruptura de alianzas, porque no quieren quedar asociados a una marca con la reputación dañada. E incluso ya se tiene en cuenta el compromiso con la seguridad informática en el momento de concretar fusiones o adquisiciones.
“Nosotros hacemos due diligence de compra-venta de hoteles y ahora, además de valorar el negocio y los datos financieros, también se hacen auditorias para ver cómo están en materia de ciberseguridad. Es un punto más de valoración del activo”, apunta Mallén. Y está la cuestión legal, porque una mala actuación tiene consecuencias.
Actuación diligente
Cuando se reformó el Código Penal y fueron incluidos los ataques informáticos como delitos, el foco se puso en los atacantes, pero las empresas también tienen responsabilidades a través de múltiples normativas.
La Agencia Española de Protección de Datos (AEPD) fiscaliza el cumplimiento de la Ley Orgánica de Protección de Datos Personales (España) y el Reglamento General de Protección de Datos de la Unión Europea. Además, todas las empresas que procesan datos de tarjetas deben cumplir con el estándar PCI (Payment Card Industry), un marco de control definido por los principales emisores de tarjetas. En el caso de las agencias de viajes, si no cumplen no pueden operar con los servicios provistos por IATA.
Lo que debe saber una empresa es que una brecha de seguridad tiene sanciones con una cuantía de entre 300.000 y 20 millones de euros
Air Europa ha recibido una multa de 600.000 euros por no aplicar medidas apropiadas y por haber notificado de forma incorrecta, ya que una compañía tiene 72 horas para dar aviso y lo hicieron fuera de plazo. Las notificaciones deben hacerse siempre que estén involucrados datos de terceros.
El abogado de Binaura-Monlex remarca que “las empresas tiene que tener muy clara la relación contractual”, porque ante un ataque “hay una responsabilidad de comunicación, no solo a organismos, sino también a clientes y proveedores que se pueden ver afectados”.
Por ejemplo, si a una cadena de restaurantes se le cae la central de reservas, “se ven afectados sus clientes, posibles terceros y eso está en una relación contractual, expresa o tácita. En caso de un ciberataque esa responsabilidad empieza a operar y hay una posibilidad de indemnización a clientes”, explica.
“El problema es que las empresas no tienen un mapa legislativo que aclare cuáles son sus responsabilidades frente a un ataque. Por eso necesitan un respaldo jurídico para saber qué están incumpliendo, hasta dónde son las responsabilidades, qué hay que hacer y lo que hay que exigir al resto”, reconoce Ferretjans
Hoy los ataques informáticos “mueven más dinero que el narcotráfico a nivel mundial”, recuerda Jordi Serra y por eso advierte que una compañía “tendrá muchos más problemas a día de hoy por dejarse abierta la puerta de internet, que por dejar abierta la puerta física del negocio”.
Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta
Inicia sesiónEsta noticia no tiene comentarios.