El sector de la hostelería se enfrenta a grandes amenazas de seguridad, lo que lo convierte en un objetivo natural para los ciberdelincuentes debido al valor y al volumen de información personal identificable que poseen estas organizaciones. Esto, unido a una plantilla numerosa, ofrece amplias oportunidades para que los intrusos se infiltren en el sistema de reservas o en el TPV interno del restaurante para capturar datos críticos de los clientes.

Se han producido innumerables violaciones de datos en la industria hotelera. Los hoteles Marriott, Radisson Hotel Group, InterContinental, Four Seasons y Hilton son sólo algunas de las grandes empresas que han saltado a los titulares en los últimos años como consecuencia de un ataque a la seguridad de los datos.

Hoy en día, Marriott se cita a menudo como una de las mayores violaciones de datos que se han producido, lo que ha dado lugar a una multa de más de 120 millones de dólares. Sin embargo, estos fallos básicos de seguridad no sólo causan pérdidas financieras devastadoras, sino que también cuestan a las organizaciones su reputación, puestos de trabajo, inversiones y negocios. El año pasado, el informe Perspectivas de los Hoteles de PwC afirmaba que el sector de la hostelería era el segundo con mayor número de violaciones de la ciberseguridad, después del sector minorista.

El sector ha experimentado un gran cambio en los últimos años, en los que muchos hoteles se han digitalizado por completo en un intento de obtener una ventaja competitiva y seguir el ritmo de las agencias de viajes en línea como Expedia y Hotels.com. Como resultado, estas organizaciones utilizan ahora las últimas tecnologías, como aplicaciones de reservas, sistemas de procesamiento de pagos y complejas redes corporativas, lo que aumenta la probabilidad de un ataque. Al mismo tiempo, el panorama cibernético sigue evolucionando rápidamente y los hoteleros se enfrentan a una serie de amenazas comunes.

Tipos de amenazas a la seguridad en el sector de la hostelería

Phishing

La mayoría de los ciberataques pueden rastrearse
hasta un correo electrónico de phishing que engaña a la víctima para que divulgue sus credenciales
o descargue malware malicioso. El phishing sigue siendo el ataque de ingeniería social más popular
debido a su elevada tasa de éxito. Un estudio realizado por Intel descubrió que el 97% de los expertos en seguridad fallan
a la hora de identificar los correos electrónicos de phishing de los auténticos. El año pasado, una serie de
hoteles y casas de huéspedes que aparecen en Booking.com fueron blanco de correos electrónicos de phishing
, lo que provocó que los usuarios del sitio web recibieran correos electrónicos en los que se les pedía que
facilitaran los datos de pago.

Pero no sólo se utilizan correos electrónicos maliciosos
para engañar a la gente para que haga clic en enlaces o divulgue información sensible.
Otra táctica común utilizada por los delincuentes consiste en la creación de sitios web falsos
para engañar a las víctimas para que introduzcan información sensible. Los delincuentes dedicarán
mucho tiempo a hacer que el sitio parezca lo más creíble posible y que parezca
casi indistinguible del real.

De hecho, aproximadamente 55 millones de reservas de hoteles en línea
se ven afectadas por sitios web fraudulentos y centros de llamadas que se hacen pasar por sitios web de hoteles
, según la Asociación Americana de Hoteles y Alojamientos.

El ransomware

En 2017, 
Romantik
Seehotel Jaegerwirt, un lujoso hotel austriaco sufrió un ataque de ransomware
que dejó fuera de las habitaciones a huéspedes y empleados del hotel hasta que la dirección del hotel
pagó el rescate exigido: dos Bitcoins, o unos 1.800 dólares. Después de que el ataque
apareciera en los titulares, muchos hoteles se vieron obligados a reconsiderar cómo protegerse
de futuros ciberataques.

Preocupantemente, el ransomware está evolucionando hacia un nuevo
tipo de amenaza en la que los ciberdelincuentes no sólo cifran los datos, sino que
los roban y amenazan con difundirlos en Internet. Esto expone a las organizaciones
a dañinas violaciones públicas de datos y a las implicaciones normativas,
financieras y de reputación asociadas.

En 2019, 205.280 organizaciones enviaron archivos que habían sido pirateados en un ataque de ransomware, un 41% más que el año anterior, según un informe reciente. Cuando se trata de defenderse contra el ransomware en el sector de la hostelería, las empresas deben estar siempre preparadas para una brecha y tener un plan de respuesta a incidentes preparado para poner en marcha.

DDoS

En los últimos años, los piratas informáticos han desplegado
nuevas tácticas y los ataques de denegación de servicio distribuido (DDoS ) han
ido ganando popularidad. Este tipo de ataque es un intento de hacer que un servicio
en línea no esté disponible abrumándolo con enormes volúmenes de tráfico de
múltiples fuentes para causar grandes daños. Esto puede incluir la pérdida de datos, la pérdida de
ingresos, daños a la reputación y la pérdida de clientes.

El sector de la hostelería se ha convertido en el
objetivo favorito de los ataques DDoS porque los hoteles utilizan una amplia gama de dispositivos,
desde televisores hasta sistemas de reservas que están todos gestionados por ordenadores y pueden ser
utilizados para perturbar otros sistemas de la infraestructura. En 2017, la cadena de hoteles
de Donald Trump sufrió un ataque DDoS de piratas informáticos que provocó que el sitio web
no estuviera disponible durante 12 horas.

Proveedores de terceros vulnerables

Las violaciones de datos causadas por terceros cuestan millones a las grandes empresas. Según una encuesta, casi la mitad (44%) de las empresas han sufrido una violación de datos significativa y que ha alterado su negocio, causada por un proveedor. Dado que los hoteles utilizan multitud de proveedores, el sector de la hostelería ofrece grandes oportunidades a los piratas informáticos para lanzar ataques maliciosos. Todo, desde los puntos de venta hasta los sistemas de reservas, la gestión de propiedades, los recursos humanos y las nóminas, son puntos de entrada potenciales.

Aquí es donde las normas de seguridad, como la ISO 27001, tienen un papel importante. La norma ISO 27001 garantiza que los proveedores se ajustan a las normas más estrictas mediante procesos aprobados y documentados, y que están comprometidos con el más alto nivel de seguridad de la información.

¿Cómo puede el sector de la hostelería mantenerse a salvo de las amenazas a la seguridad?

Dado que el sector hotelero es cada vez más propenso a sufrir ciberataques malintencionados, existen varias formas en que las organizaciones pueden combatir las amenazas a la ciberseguridad:

  • Desarrolle una cultura de formación continua de concienciación cibernética entre el personal, que adopte una variedad de métodos atractivos para educar a los empleados sobre su papel a la hora de mantener su organización segura y protegida.
  • Restrinja el acceso a los datos de pago o personales únicamente al personal que necesite esta información para realizar su trabajo.
  • Utilice inicios de sesión individuales y códigos de acceso a los sistemas.
  • Las organizaciones deben considerar el uso de un servicio de protección DDoS que detecte flujos de tráfico anómalos y redirija cualquier tráfico DDoS fuera de la red. Otras medidas de seguridad incluyen la protección de la infraestructura de red mediante el uso de un cortafuegos, VPN, antispam y otras capas de técnicas de defensa DDoS.
  • Asegúrese de que se cumplen las normas PCI. Estas normas proporcionan un conjunto de requisitos diseñados para garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro.
  • Instale y actualice el software antivirus en todos los dispositivos.
  • Nunca haga clic en enlaces ni descargue archivos adjuntos de fuentes desconocidas.
  • No utilice la Wi-Fi pública para realizar actividades comerciales.
  • Asegúrese de que los proveedores son investigados y de que los controles de acceso se tienen muy en cuenta, ya que suelen ser puntos débiles.
  • Nunca pague un rescate, ya que no hay garantías de que recupere sus archivos.

MetaCompliance ha creado amplias soluciones de concienciación sobre ciberseguridad. Póngase en contactocon nuestros especialistas en concienciación sobre seguridad para obtener más información sobre cómo podemos ayudarle a transformar la formación en ciberseguridad dentro de su organización.