El proceso de transformación digital en el sector turístico lo sitúa entre las tres industrias más codiciadas por el cibercrimen. El robo de datos personales sensibles en ‘hotspots’ y hoteles es una de las mayores amenazas. 

Por Lola Sánchez. Ilustración: Alberto García

El pasado mes de mayo, un ciberataque dejó atónitos a expertos y profanos en tecnologías de la información. El virus WannaCry (literalmente, ‘Quiero llorar’) infectó centenares de miles de ordenadores en 74 países del mundo, entre los que se encontraba España, donde obligó a apagar los equipos y enviar a casa a muchos empleados de empresas como Telefónica, Iberdrola, Gas Natural o BBVA. El virus, del tipo ransomware (es decir, que restringe el acceso a determinados archivos y pide un rescate para liberarlos) llegó a través de un correo electrónico con un enlace o un fichero para descargar que, una vez abierto, cifró el contenido del ordenador e hizo emerger el mensaje que solicitaba ese rescate.

A pesar de la envergadura del ciberataque, el dinero solicitado para restablecer el sistema ascendía a solo 300 euros por equipo infectado. Una petición que puede resultar modesta a priori, pero muy lucrativa dado el volumen de equipos afectados: el Instituto Nacional de Ciberseguridad (Incibe) contabilizó 240.000 infecciones en todo el mundo, de las que 1.200 se produjeron en nuestro país.

Generalmente se entiende que la ciberdelincuencia y sus virus se centran en la banca, los seguros o la distribución, porque es en estos sectores donde abundan los mejores ciberbotines en forma de datos identificativos personales para formalizar pagos electrónicos o transacciones con tarjetas. Sin embargo, un reciente estudio de Deloitte, Expectativas 2017: tendencias del turismo en España, asegura que “el sector turístico se ha posicionado como una de las tres industrias target para el cibercrimen. En él se añaden nuevos riesgos que afectan a la seguridad de los datos de clientes y de las propias compañías”.

A MAYOR DIGITALIZACIÓN, MAYOR RIESGO

La causa de este ascenso en el ranking de exposición se encuentra en el propio proceso de digitalización del sector turístico. Una transformación que sitúa al cliente en el centro de la estrategia de negocio para ofrecer un marketing cada vez más especializado a través de sistemas y plataformas progresivamente sofisticadas, cuyo objetivo es alcanzar un conocimiento más profundo del usuario y ofrecerle servicios personalizados, ya sea a través de estrategias de ominicanalidad mediante todo tipo de dispositivos, campañas de marketing personalizadas o analítica de datos para ofrecer la mejor experiencia a los clientes.

Esta evolución plantea oportunidades a las organizaciones, pero también retos, entre los que se encuentra la ciberseguridad en un entorno que integra el riesgo propio de la empresa turística con la intervención de terceras partes, lo que añade nuevos riesgos sobre la seguridad de los datos.

A partir de estas premisas, la consultora Deloitte resume las principales ciberamenazas a las que se enfrenta el sector turístico: robo de información para su posterior monetización y ataques de todo tipo que producen la disrupción del negocio, impiden la prestación de servicios y afectan, finalmente, a la experiencia del usuario.

Más allá de la metodología empleada por los hackers maliciosos, el cibercrimen trae consigo otra serie de consecuencias negativas como son la pérdida de confianza de los usuarios, el daño a la reputación y a la marca de la organización y, por supuesto, pérdidas económicas y riesgos legales derivados del incumplimiento normativo. Este último es un asunto que deberá tenerse muy en cuenta cuando entre en vigor, en mayo del próximo año, el nuevo Reglamento Europeo de Protección de Datos, un marco regulatorio que establece multas de hasta el 4% de las ventas de aquellas empresas que no salvaguarden los datos sensibles conforme a los protocolos exigidos.

‘HOTSPOTS’ Y HOTELES COMO OBJETIVO

Tras analizar más de 31 millones de redes wifi de acceso público a través de los conocidos como hotspots de todo el mundo, un estudio de Kaspersky Lab asegura que una de cada cuatro no son seguras y representan un riesgo para los datos personales de los usuarios que se conectan.

Otra conclusión del estudio es que los 20 países con mayor porcentaje de hotspots wifi no cifrados incluyen muchos destinos turísticos como Tailandia, Francia, Israel y Estados Unidos, entre otros. En este caso, los viajeros son los más vulnerables, dado que el punto de acceso wifi disponible es el que brinda el propio recinto.

Por estos motivos, Alfonso Ramírez, director general de Kaspersky Lab Iberia, aconseja a los usuarios “que se mantengan alerta cuando se conecten a una red wifi pública y que no utilicen puntos de acceso inalámbricos sin contraseñas para realizar actividades de alto riesgo, como banca online, compras o transferencia de información confidencial. Y, por supuesto, utilizar medidas adicionales para proteger el tráfico, como la tecnología de red privada virtual”.

White Lodging, Mandarin Oriental, Trump Hotels, Hilton Worldwide, Hyatt, Hard Rock Las Vegas… otro de los objetivos preferidos de los cibercriminales son los hoteles. En los últimos años son varias las cadenas, como las citadas, que se han visto afectadas con el robo de datos de tarjetas de crédito o ciberataques en sus puntos de venta cuya detección no se realizó, en algunos casos, hasta después de un año de haber sido infectados. Según detalla el responsable de seguridad de Vector ITC Group, Iván Lastra, “el delito más frecuente es el robo de información en el momento del pago. En este sentido, los principales damnificados son los hoteles”.

Si la concienciación del sector es urgente y las inversiones en este terreno crecen en nuestro país –se espera un gasto cercano a los mil millones de euros en ciberseguridad hasta 2019–, también es cierto que se necesitan dosis de docencia: que uno de cada cinco responsables de TIC de grandes empresas españolas no conozca el término ransomware o que la misma proporción utilice equipamientos de red descatalogados puede permitir a WannaCry sentirse como pez en el agua

MÁS VALE PREVENIR

A modo de recomendación, el estudio de Deloitte sugiere las siguientes medidas de seguridad a nivel organizativo, como medios de prevención y mitigación frente a posibles ataques:

1. Seguridad en los datos. No reunir información personal que no es necesaria y limitar su acceso a terceros. Almacenamiento seguro de la información. Test periódico de vulnerabilidades en los sistemas.

2. Control de accesos a los datos más sensibles. Restringir los accesos de los empleados a datos sensibles. Limitar el número de accesos de administrador. Procedimientos de seguridad durante el ciclo de vida de la información sensible.

3. Monitorización y segmentación de la red. Monitorización de la red 24×7 para detectar accesos no autorizados y actividad maliciosa. Segmentar la red y localizar los datos más sensibles en un lugar seguro.

4. Securización de accesos remotos. Limitación de accesos a clientes y empleados que accedan remotamente. Securización de endpoints.

5. Exigir medidas de seguridad a proveedores de servicios. Seguridad de aplicaciones desarrolladas por terceros. Monitorización continua del cumplimiento de las medidas de seguridad adoptadas. Testeo periódico de aplicaciones.

6. Establecimiento de medidas organizativas que complementen y den sentido a las medidas técnicas implantadas. Cumplimiento de los requerimientos regulatorios. Elevar el discurso sobre seguridad hasta la agenda del CEO.

Fuente: revistasavia.com

Volver al boletín

WTM Latin America 2018

NUEVO!!!!

Volver