El sector de la hostelería se enfrenta a grandes amenazas de seguridad, lo que lo convierte en un objetivo natural para los ciberdelincuentes debido al valor y al volumen de información personal identificable que poseen estas organizaciones. Esto, unido a la gran cantidad de trabajadores, ofrece amplias oportunidades para que los intrusos se infiltren en el sistema de reservas o en el TPV del restaurante para capturar datos críticos de los clientes.
En el sector hotelero se han producido innumerables violaciones de datos. Marriott, Radisson Hotel Group, InterContinental, Four Seasons y Hilton Hotels son sólo algunas de las grandes empresas que han aparecido en los titulares en los últimos años como resultado de un ataque a la seguridad de los datos.
Hoy en día, Marriott se cita a menudo como una de las mayores violaciones de datos que se han producido, lo que ha dado lugar a una multa de más de 120 millones de dólares. Sin embargo, estos fallos básicos de seguridad no sólo causan pérdidas financieras devastadoras, sino que también cuestan a las organizaciones su reputación, puestos de trabajo, inversiones y negocios. El año pasado, el informe Hotels Outlook de PwC afirmaba que el sector de la hostelería era el segundo con mayor número de violaciones de la ciberseguridad, después del sector minorista.
El sector ha experimentado un gran cambio en los últimos años, ya que muchos hoteles se han digitalizado por completo en un intento de obtener una ventaja competitiva y seguir el ritmo de las agencias de viajes online, como Expedia y Hotels.com. Como resultado, estas organizaciones utilizan ahora las últimas tecnologías, como aplicaciones de reserva, sistemas de procesamiento de pagos y complejas redes corporativas, lo que aumenta la probabilidad de un ataque. Al mismo tiempo, el panorama cibernético sigue evolucionando rápidamente y los hoteleros se enfrentan a una serie de amenazas comunes.
Tipos de amenazas a la seguridad en el sector de la hostelería
Phishing
La mayoría de los ciberataques pueden ser
rastreados hasta un correo electrónico de phishing que engaña a la víctima para que divulgue sus credenciales de
o descargue un malware malicioso. El phishing sigue siendo el ataque de ingeniería social más popular de
debido a su alta tasa de éxito.
Un estudio realizado por Intel reveló que el 97% de los expertos en seguridad no logran identificar los correos electrónicos de phishing de los auténticos. El año pasado, varios hoteles y casas de huéspedes
que figuran en Booking.com fueron objeto de correos electrónicos de suplantación de identidad
, lo que dio lugar a que los usuarios del sitio web recibieran correos electrónicos en los que se les pedía que proporcionaran los datos de pago
.
Pero no sólo se utilizan correos electrónicos maliciosos en
para engañar a la gente y hacer que haga clic en enlaces o divulgue información sensible.
Otra táctica común utilizada por los delincuentes consiste en la creación de sitios web falsos
para engañar a las víctimas para que introduzcan información sensible. Los delincuentes dedican mucho tiempo a
para que el sitio parezca lo más creíble posible y para que parezca
casi indistinguible del real.
De hecho, aproximadamente 55 millones de reservas de hoteles en línea
se ven afectadas por sitios web fraudulentos y centros de llamadas que se hacen pasar por sitios web de hoteles
, según la American Hotel and Lodging Association.
¿Qué es el ransomware y cómo evitarlo? MetaCompliance
En 2017,
Romantik
Seehotel Jaegerwirt, un lujoso hotel austriaco, sufrió un ataque de ransomware
que dejó a los huéspedes y a los empleados del hotel sin acceso a las habitaciones hasta que la dirección del hotel
pagó el rescate exigido: dos Bitcoins, unos 1.800 dólares. Después de que el ataque
apareciera en los titulares, muchos hoteles se vieron obligados a reconsiderar cómo protegerse
de futuros ciberataques.
Preocupantemente, el ransomware está evolucionando hacia un nuevo tipo de amenaza
en la que los ciberdelincuentes no sólo cifran los datos, sino que también
los roban y amenazan con publicarlos en Internet. Esto expone a las organizaciones de
a dañinas violaciones de datos públicas y a las implicaciones reglamentarias,
financieras y de reputación asociadas.
En 2019, 205.280 organizaciones presentaron archivos que habían sido hackeados en un ataque de ransomware, un aumento del 41% respecto al año anterior, según un informe reciente. Cuando se trata de defenderse del ransomware en el sector de la hostelería, las empresas deben estar siempre preparadas para una brecha y tener un plan de respuesta a incidentes preparado para ponerlo en marcha.
DDoS
En los últimos años, los hackers han desplegado
nuevas tácticas y los ataques de denegación de servicio distribuido (DDoS ) han
ido ganando en popularidad. Este tipo de ataque es un intento de hacer que un servicio en línea
no esté disponible abrumándolo con enormes volúmenes de tráfico de
múltiples fuentes para causar un gran daño. Esto puede incluir la pérdida de datos, la pérdida de
ingresos, el daño a la reputación y la pérdida de clientes.
El sector de la hostelería se ha convertido en el
objetivo favorito de los ataques DDoS porque los hoteles utilizan una amplia gama de dispositivos,
desde televisores hasta sistemas de reservas que son gestionados por ordenadores y pueden ser
utilizados para interrumpir otros sistemas de la infraestructura. En 2017, la cadena de hoteles de Donald Trump
sufrió un ataque DDoS por parte de piratas informáticos que hizo que el sitio web
no estuviera disponible durante 12 horas.
Vulnerable
terceros proveedores
Las violaciones de datos causadas por terceros cuestan millones a las grandes empresas. Según una encuesta, casi la mitad (44%) de las empresas han sufrido una filtración de datos importante que ha alterado su negocio, causada por un proveedor. Dado que los hoteles utilizan una multitud de proveedores, el sector de la hostelería ofrece amplias oportunidades para que los hackers lancen ataques maliciosos. Todo, desde el punto de venta hasta los sistemas de reserva, la gestión de la propiedad, los recursos humanos y las nóminas, son puntos de entrada potenciales.
Aquí es donde las normas de seguridad, como la ISO 27001, tienen un papel importante. La ISO 27001 garantiza que los proveedores se ajustan a las normas más estrictas a través de procesos aprobados y documentados, y se comprometen con el más alto nivel de seguridad de la información.
¿Cómo puede el sector de la hostelería mantenerse a salvo de las amenazas a la seguridad?
Dado que el sector hotelero es cada vez más propenso a sufrir ciberataques malintencionados, existen varias formas de combatir las amenazas a la ciberseguridad:
- Desarrollar una cultura de formación continua de concienciación cibernética entre el personal, que adopte una variedad de métodos atractivos para educar a los empleados sobre su papel en el mantenimiento de la seguridad de su organización.
- Restringir el acceso a los datos de pago o personales sólo al personal que necesite esta información para realizar su trabajo.
- Utilizar inicios de sesión individuales y códigos de acceso a los sistemas.
- Las organizaciones deberían considerar el uso de un servicio de protección DDoS que detecte flujos de tráfico anormales y redirija cualquier tráfico DDoS fuera de la red. Otras medidas de seguridad incluyen la protección de la infraestructura de la red mediante el uso de un cortafuegos, VPN, antispam y otras capas de técnicas de defensa contra DDoS.
- Garantizar la aplicación de las normas de cumplimiento de la PCI. Estas normas proporcionan un conjunto de requisitos diseñados para garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro.
- Instale y actualice el software antivirus en todos los dispositivos.
- Nunca haga clic en enlaces o descargue archivos adjuntos de fuentes desconocidas.
- No utilice el Wi-Fi público para realizar actividades comerciales.
- Asegúrese de que los proveedores son investigados y que los controles de acceso son considerados cuidadosamente, ya que estos son a menudo puntos débiles.
- Nunca pague un rescate, ya que no hay garantía de que vaya a recuperar sus archivos.
MetaCompliance ha creado amplias soluciones de concienciación en materia de ciberseguridad. Póngase en contactocon nuestros especialistas en concienciación sobre seguridad para obtener más información sobre cómo podemos ayudar a transformar la formación en ciberseguridad dentro de su organización.