La actualidad del sector hotelero se ha visto marcada en los últimos tiempos por algunos casos preocupantes relacionados con ataques y brechas en la seguridad de hoteles y grandes cadenas hoteleras. Quizás el caso más sonado fue el de Marriot, que puso en compromiso los datos de casi 500 millones de huéspedes, que incluían números de teléfono, direcciones de correo electrónico, documentos de identidad e incluso en algunos casos tarjetas de crédito.

Sin duda, este caso fue una de las caras más oscuras de la tecnología y del uso fraudulento que se puede hacer de ella. Pero también sirvió como un toque de atención al sector, porque ninguna empresa por pequeña o grande que sea está exenta de poder recibir algún día un ataque que ponga en jaque su seguridad y la de sus huéspedes.

ALGUNOS TIPOS DE CIBERATAQUES

Malware

Quizás no te suene esta palabra o quizás la relaciones mejor si hablo de troyanos, spyware, adware… Y es que el Malware hace referencia a todos aquellos softwares diseñados para atacar un sistema, aprovechando las brechas de seguridad que pueden existir y quedarse en ocasiones instalados en el propio sistema.

Estos Malware, llegan muchas veces en archivos ejecutables camuflados como un archivo adjunto o un enlace por lo que para su activación es necesaria la acción humana para descargarlo o hacer click en él. Las consecuencias de este tipo de ataques pueden ser, por ejemplo, la completa encriptación de tu base de datos. Si esa base de datos se encuentra en un servidor local las consecuencias de no solucionarlo a tiempo puede ser fatales, porque ya no solo comprometes los datos de tus huéspedes si no que además si tu PMS/ERP se encuentra alojado en ese servidor tu operativa diaria se verá paralizada hasta que se consiga solucionar, con los costes económicos que ello conlleva. ¿La solución? Contar con un PMS en la nube, una nube como la de Microsoft Azure una de la más seguras y que cuenta con un mayor número de instalaciones del mundo, con la cual trabajamos como partners de Microsoft y sobre la que corre nuestro PMS/ERP Suitech.

Phising

Otros de los ciberataques más comunes y que más gente sufre a diario, es el phishing. Este método usado por los ciberdelincuentes busca que el usuario revele información personal y sensible (tarjetas de crédito, cuentas bancarias, contraseñas…) mediante la suplantación de identidad. Las acciones más recurrentes suelen involucrar a entidades bancarias, pasarelas de pago u otras empresas pero siempre bajo nombres reconocibles que facilitan que el usuario acceda a links fraudulentos o responda a correos falsos con información comprometida.

Ataques DDoS

Aunque este tipo de ataque ha dejado de ser tan común, los ataques DDoS o “ataques de denegación de servicios distribuidos” siguen siendo uno de los ataques de ciberseguridad a tener en cuenta. El propósito de estos ataques es colapsar la capacidad de respuesta de una página o conjunto de páginas web mediante el envío masivo de solicitudes de conexión a la misma. El resultado es la inhabilitación temporal de esa página web, evitando que usuarios legítimos puedan acceder a ella ¿Te imaginas un ataque DDoS en plena campaña de Black Friday o en Navidad?

CIBERATAQUES: COMO PREVENIRLOS

Ya publicamos en este blog una entrada en la que resumíamos las principales medidas de seguridad y buenas prácticas según el Instituto Nacional de Seguridad (Incibe) y que os animamos a revisar.

De todas esas buenas prácticas la más importante y sencilla de implementar es la concienciación y formación de los empleados.

Un correo con un enlace al que no se debería de haber accedido o una descarga de un archivo de dudosa procedencia por parte de un miembro de la organización es la causa más común y la fuente de la gran mayoría de brechas de seguridad que ocurren a diario. Por ello es necesario establecer protocolos de actuación y planes formativos para los empleados en esta materia.

Otro punto importante es contar con copias de seguridad o backups y que se realicen de forma periódica para que estén lo más actualizadas posible, permitiendo rehabilitar lo antes posible la base de datos ante un ataque. Esta tarea se vuelve mucho más sencilla cuando estas bases de datos están alojadas en la nube, ya que la periodicidad de estas copias y su rehabilitación en caso de necesitarla es mucho más rápida y fiable. Además, siempre que contrates un servicio de hosting de tu base de datos debes exigir los términos del plan de mantenimiento de este y un plan de acción en caso de que tus datos se vean comprometidos.

Mantener nuestros sistemas actualizados y usar siempre contraseñas diferentes y complejas es otra de las medidas que, a pesar de su relativa sencillez, no siempre se llevan a cabo.

Por último, aunque no menos importante, existen aspectos legales que no deben pasarse por alto. Uno de estos aspectos son los contratos de confidencialidad con nuestros proveedores de sistemas, ambas partes deben asegurar un tratamiento con garantías de los datos que se van a administrar, ya que como hemos dicho se manejan datos muy sensibles de nuestros huéspedes. En esta misma línea la obligación de los establecimientos con sus huéspedes pasa por cumplir con las leyes de protección de datos y de comercio electrónico vigentes algo de suma importancia si queremos transmitir seguridad a nuestros clientes.

Aunque se están haciendo numerosos avances en ciberseguridad en las empresas y en el sector turístico en particular, todavía queda mucho camino por recorrer y mucha concienciación que llevar a cabo. Por eso es tarea de todos los actores que participamos en el sector conseguir avances día a día y que se convierta en un aspecto prioritario.