Durante una conversación reciente mientras tomábamos un café, un amigo expresó su preocupación por la seguridad de sus datos cada vez que hacía una reserva de hotel. La industria hotelera ha experimentado una profunda transformación como resultado de la integración de diversas tecnologías como sistemas interconectados, chatbots e inteligencia artificial. Estas herramientas han revolucionado la forma en que se gestionan las operaciones, mejorando la experiencia general del cliente y agilizando las actividades diarias dentro de los hoteles.
Si bien estas soluciones innovadoras han mejorado indudablemente la eficiencia y la coordinación dentro de la industria, también plantean riesgos y vulnerabilidades significativos. Por ejemplo, las posibles consecuencias de que el sistema informático de un hotel se vea comprometido por un ciberataque son alarmantes. Es imperativo que los hoteles de hoy en día prioricen la protección de los datos de los huéspedes con el mismo nivel de seriedad que lo hacen con las medidas de seguridad física dentro de sus instalaciones.
Invitados no deseados
Sin duda, para los ciberdelincuentes, obtener acceso a los datos de las reservas de hoteles es similar a ganar el premio gordo. Una vez que violan las medidas de seguridad, pueden obtener números de tarjetas de crédito, información de pasaporte, detalles de vuelos y más. El sector hotelero es particularmente vulnerable a amenazas como la clonación de sitios web y las campañas de phishing, el fraude con tarjetas de crédito, el robo de identidad y, no menos importante, el riesgo de malware DarkHotel, donde el código malicioso se carga en los servidores del hotel y los atacantes pueden dirigirse a usuarios específicos que son huéspedes.
Además, al igual que ocurre con otro tipo de empresas, la falta de visibilidad y seguridad en los entornos de trabajo remoto para los empleados también supone un riesgo importante. Si bien las operaciones de atención al público obviamente no se pueden realizar de forma remota, muchas funciones de oficina administrativa no requieren necesariamente que el gerente o el empleado responsable esté en el lugar todo el tiempo y, si eligen trabajar desde casa en ocasiones, eso agrega otra capa de vulnerabilidad potencial en el sistema de TI del hotel, especialmente si tienen acceso a información crítica para el negocio o datos de clientes en la nube.
La ciberseguridad se ha convertido desde hace mucho tiempo en una preocupación apremiante para los gerentes de hoteles en todo el mundo y, por supuesto, en España, donde la industria del turismo es particularmente importante económicamente, con investigaciones que sugieren que alcanzará el 13% del PIB total de España este año. A medida que el uso de tecnologías como la IA se generaliza en el mundo empresarial y crece la conciencia de las amenazas que plantean los ciberdelincuentes, también lo hace la necesidad de aumentar la inversión de tiempo y recursos en la mitigación de los riesgos de seguridad y la protección de los datos de los clientes.
En el ámbito de la ciberseguridad, a menudo se dice que la seguridad de una empresa es tan fuerte como su eslabón más débil, mientras que hoy en día se reservan tantos viajes en línea, los hoteles están casi obligados a colaborar y aceptar reservas a través de las diferentes plataformas de reserva de terceros para garantizar niveles de ocupación razonables. Asociarse con estas plataformas de terceros no solo implica un riesgo potencial de ciberseguridad para los hoteles, sino que, si el protocolo de seguridad del hotel no está a la altura, puede convertirse en una vulnerabilidad para las propias plataformas como hemos visto recientemente. El año pasado hubo un aumento en los ataques de phishing dirigidos a hoteles en todo el mundo, siendo los usuarios de una de estas populares plataformas de reservas los principales objetivos. Los ciberdelincuentes aprovecharon las vulnerabilidades en las defensas de muchos establecimientos para obtener acceso no autorizado a sus perfiles comerciales en la plataforma.
Aunque la plataforma en sí no fue hackeada, los delincuentes idearon formas de acceder a los portales de administración de los hoteles individuales que utilizan el servicio, engañando primero al personal del hotel para que descargara malware. Luego, los piratas informáticos iniciaron sesión en la plataforma de reservas, haciéndose pasar por empleados autorizados del hotel y permitiéndoles ver a todos los clientes que actualmente tienen reservas de habitación o futuras. A continuación, lanzaron una campaña de mensajes de phishing a esos clientes desde la aplicación oficial de la plataforma con el fin de engañarlos para que les pagaran dinero a ellos en lugar de al hotel. Estos ataques afectaron tanto a las grandes cadenas hoteleras como a los establecimientos más pequeños.
Un punto caliente para la ciberdelincuencia
Uno de los ejemplos más sonados en España fue el del hotel Irala, que forma parte de la cadena Pillow Hotels en Bilbao. Los ciberdelincuentes pudieron violar el perfil de administración del hotel en la plataforma y obtener acceso a los datos de las reservas. Luego, estos atacantes procedieron a enviar mensajes a los usuarios, en este caso a través de WhatsApp haciéndose pasar por el gerente del hotel, conteniendo un enlace fraudulento que les permitía robar información financiera de las víctimas. Esta misma táctica fue utilizada por los atacantes contra hoteles de Vigo durante las fiestas, aprovechando el aumento de viajeros que visitaban la zona para los famosos desfiles de iluminación navideña de la ciudad.
Este año, a raíz de la violación del hotel Irala, la Agencia Española de Protección de Datos (AEPD) impuso una cuantiosa multa al hotel, la primera multa de este tipo de incidentes, por no proteger adecuadamente los datos personales de sus huéspedes.
En respuesta a estos incidentes globales, la plataforma negó que «ninguno de sus sistemas se hubiera visto comprometido» y ha trasladado la responsabilidad de los incidentes a los hoteles. También ha estado ofreciendo orientación y capacitación a sus socios para ayudar a prevenir tales estafas, pero todo demuestra cómo la ciberseguridad no siempre depende de la solidez de los propios sistemas. Al aprovechar inteligentemente los protocolos de seguridad laxos en varios hoteles de todo el mundo, los ciberdelincuentes pudieron lanzar este sofisticado ataque de phishing que finalmente dañó la reputación de la plataforma de reservas, a pesar de que supuestamente no se vio comprometida.
Protección contra intrusos cibernéticos
Vale la pena señalar que los ciberataques directos a las cadenas hoteleras tampoco son infrecuentes, ya que se emplea una amplia gama de tácticas, como ransomware, ataques DDoS y robo de datos e identidad de los clientes.
El sector hotelero, consciente de todos estos riesgos, se ha puesto en pie de guerra y comienza a armarse contra los ciberdelincuentes con medidas tan importantes como la evaluación de riesgos en la red, la formación en ciberseguridad de los empleados, la vigilancia de posibles amenazas a los datos de la organización, y también, con la ayuda de expertos en ciberseguridad conocedores de las últimas y más efectivas soluciones para el sector.
Debido a la naturaleza de las cadenas hoteleras, a menudo tienen muchas integraciones diferentes basadas en API que respaldan su sistema interno de inteligencia comercial, así como una colección cada vez mayor de API externas con socios de la industria de viajes.
Nuestro equipo ha dedicado importantes esfuerzos al desarrollo de soluciones a medida destinadas a salvaguardar las numerosas integraciones de API dentro de la industria turística. Esto incluye proteger tanto el sistema interno de inteligencia empresarial como la red en expansión de API externas con socios de la industria, como los principales sitios web de viajes y reservas como Expediaagencias de viajes en línea, así como proveedores y agentes más pequeños.
Dado que a menudo son susceptibles a los riesgos de seguridad, muchos hoteles ahora optan por un enfoque más proactivo y sofisticado para la seguridad de las API. La clave radica en la implementación de una solución de integración optimizada equipada con capacidades avanzadas de análisis en tiempo real y una presentación de datos fácil de usar, junto con servicios administrados.
Al aprovechar el modelo de software como servicio (SaaS), los hoteles pueden iniciar rápidamente una implementación inicial en cuestión de horas, sin sobrecargar sus operaciones diarias. Priorizar la detección de ataques a través de soluciones con análisis en tiempo real permite a las cadenas hoteleras mapear las relaciones con los usuarios debido a la capacidad de la seguridad de la API para presentar grandes cantidades de información sobre la actividad y las amenazas de la API. Solo con toda la información en la mano es posible involucrar a todas las partes relevantes para resolver cualquier problema y ganar la guerra contra los ciberdelincuentes.
A medida que el sector hotelero continúa adoptando los avances tecnológicos, es esencial que las organizaciones permanezcan vigilantes y proactivas para salvaguardar la información confidencial. Al implementar sólidas medidas de ciberseguridad, los hoteles pueden garantizar la confianza de sus huéspedes y, al mismo tiempo, mitigar las posibles amenazas para sus operaciones y las de sus socios comerciales.
Firmado: Richard Meeus, Chief Technology Officer de Seguridad y Estrategia de Akamai para EMEA
La entrada Las cadenas hoteleras en pie de guerra contra los ciberataques es original de MuySeguridad. Seguridad informática.