Los ataques informáticos en el sector turístico crecen exponencialmente debido a la gran cantidad de información que manejan las empresas hoteleras, es de vital importancia para los hoteles y establecimientos alojativos, puesto que pueden descubrir y personalizar experiencias de sus clientes, ofrecer los servicios en los cuales están verdaderamente interesados y de esta manera agregar valor al turismo, así como también encontrar tendencias y mejorar su rentabilidad, que es lo que se busca. El mal uso de esta información puede provocar una mala reputación de la empresa, poniendo en riesgo la continuidad del hotel debido a una crisis importante de reputación.
Ciberataques
Existen diferentes tipos de ciberamenazas y ciberataques en la red, que ponen en riesgo el ciberespacio. Detrás del cibercrimen, existen verdaderos profesionales pertenecientes a organizaciones criminales, llegando a ser un negocio más poderoso que incluso el narcotráfico.
El sector turístico es el más vulnerable a los ciberataques, esto se debe, por un lado, a las cuantiosas ganancias y por otro por el gran volumen de información que maneja, principalmente datos de sus clientes, sus cuentas bancarias y tarjetas de créditos, horarios, proveedores, reservas, entre otros datos de interés para cualquier cibercriminal.
Las ciberamenazas más comunes a las que se enfrenta el turismo son:
- El robo de información, muy bien pagado en el mercado negro (Deep Web). Los sistemas de reservas online y los portales de reservas, son una fuente inagotable de información de clientes, tales como las tarjetas de crédito.
- Los ataques que provocan las alteraciones del negocio, obligando a las empresas hoteleras a dejar de prestar los servicios.
- Los ataques que afectan a la calidad del servicio, que degradan la experiencia del usuario.
- La moda de pagar un rescate para recuperar información robada llega al sector hotelero.
- La invasión más recurrente es en el sistema operativo de los Terminales de Punto de Venta (TPV) para lograr los detalles de las tarjetas de crédito de los turistas y así poder acceder a sus fondos.
Se hace necesario implementar sistemas de ciberseguridad, para proteger los datos más buscados por los ciberdelincuentes. El fraude online y los sistemas poco actualizados son los principales riesgos, ocasionando la pérdida de datos personales y datos bancarios, cierre de la actividad, desprestigio y merecedora de sanciones, como consecuencias del ciberataque.
Para contrarrestar la ciberdelincuencia, se debe contar con tecnologías fiables y respaldadas.
Ciberseguridad y sus vulnerabilidades
Es fundamental un protocolo de ciberseguridad para que la información no peligre, por lo que la inversión dentro de los hoteles debe contemplar un espacio en su presupuesto para configurar un equipo que se encargue de ello y se capacite en esta materia. Dicho protocolo debe estar ajustado a la normativa y la prioridad que es la misma del hotel desde siempre: el cliente y su seguridad. Todo el Plan de Acción debe abocarse a resguardar la información de cada cliente y que esta sea privada.
Algunas de estas acciones pueden ser: realizar pruebas de intrusión periódicamente, identificar y adquirir la tecnología de forma segura, monitorear desde el punto de vista de ciberseguridad la tecnología utilizada.
La seguridad no se trata solamente de invertir en soluciones y servicios sino también de inteligencia y conocimiento para ejecutar las acciones. El objetivo es garantizar la continuidad del negocio, resguardar información interna (propia del Hotel) y la de sus clientes, evitar pérdidas por fraude.
Además, de una clara necesidad de securizar las redes internas y de contar con un equipo de ciberseguridad para enfrentar los ciberataques mientras se producen, el Hotel debe tomar en consideración medidas preventivas, que van más allá del protocolo, para adoptar prácticas y hábitos de manejo de información.
Algunas de estas medidas son:
- Realización de copias de seguridad (backups) diariamente de todos los sistemas y su continuo monitoreo. Un esquema de copia de seguridad 3-2-1 es ideal para aislarse contra las amenazas, consiste simplemente en realizar 3 copias de los datos en 2 soportes diferentes y la tercera copia en 1 lugar físico distinto.
- Separar las redes privadas de las públicas y aplicar métodos de autenticación.
- Ejecutar un software antivirus con definiciones de malware actualizadas.
- Evitar abrir enlaces de correos electrónicos y archivos adjuntos de fuentes desconocidas
- Solicitar datos mínimos imprescindibles y cargarlos en la plataforma.
Educación Digital en los Hoteles
El sector turístico requiere de una identidad digital donde la capacitación y sobre todo la concientización de sus usuarios en materia de ciberseguridad, logre satisfacer a sus clientes y fidelizarlos. Así mismo, la formación del personal, para reconocer fraudes electrónicos, aplicar medidas de ciberseguridad. Los empleados suelen ser uno de los objetivos más frecuentes por los ciberdelincuentes, ya que son el eslabón más débil de la cadena, en cuanto a ciberseguridad.
La ciberseguridad en los hoteles es tarea de todos, por lo que la educación digital es la clave para relacionarse de manera natural y responsable con el entorno tecnológico, así como con las medidas de seguridad implantadas. De esta manera luchar contra los ciberataques y ciberamenazas.
Necesidades de Seguridad y Normativa Europea
A partir de mayo del 2018 entra en vigencia la nueva normativa, Reglamento General de Protección de Datos (RGPD), que supera a la anterior en exigencias. Este nuevo reglamento va dirigido a la privacidad del individuo, proteger los datos personales de los residentes europeos y unificar su tratamiento en los Estados miembros de la Unión Europea. independientemente del país de residencia, Estos datos necesitan ser regulados de forma igualitaria independientemente, para ello, es necesario recordar que un dato personal es todo aquel que identifica a un individuo, su procesamiento debe realizarse de acuerdo con los seis principios RGPD y que el responsable del tratamiento debe encargarse de poner en marcha las medidas necesarias para cumplir los principios mencionados, a esto se llama responsabilidad proactiva.
Los organismos que se encargan del sector de ciberseguridad y del cumplimiento de la norma en España, son el Instituto Nacional de Ciberseguridad o la Oficina de Seguridad del Internauta.
Lo primero que deben hacer los establecimientos hoteleros para salvaguardar la información personal es la protección de datos por diseño y por defecto. El usuario debe conocer y entender desde la fase inicial de la reserva cómo se están recogiendo sus datos y qué uso se va a hacer de ellos, por lo que si un posible cliente envía una solicitud de acceso correcta al hotel, donde ha efectuado la reserva, debe recibir una copia de su información almacenada en un plazo de 30 días. El incumplimiento de esta norma por parte del Hotel, el usuario puede hacer uso del derecho de acceso, definido por la Agencia Española de Protección de Datos (AEPD) como aquel que reconoce el control de los datos personales a los ciudadanos.
Por otro lado, si el Hotel se percata de una brecha de seguridad, tiene un plazo un máximo de 72 horas para notificar a las autoridades competentes. SE entiende como brecha de seguridad cuando una parte de un software, secuencia de datos, o de comandos se aprovecha de un error, de una falla o de una vulnerabilidad para producir un comportamiento involuntario o inesperado en un programa informático, un soporte físico, o algo electrónico (automatizado generalmente) que, en el caso de los hoteles, pongan en riesgo los datos del cliente o de la Empresa.
El Hotel que incumpla podrá recibir dos sanciones: económicas y de crisis pública reputacional de su marca.
Podemos concluir que el sector hotelero debe apostar por la transformación digital segura y la educación digital, contando con tecnología ajustada a la normativa, de esta manera garantizar la máxima seguridad ante ciberataques. Una tecnología segura genera valor y confianza del cliente marchando hacia un progreso sostenible del turismo.
