Ciberseguridad para hoteles

En la era digital, la tecnología está en todas partes. Las personas pueden conectarse con su empresa, sus empleados, clientes, proveedores y competidores a través de ordenadores portátiles, teléfonos inteligentes e incluso dispositivos portátiles.

Confiamos en la tecnología conectada para las operaciones seguras de nuestros sistemas de energía, servicios públicos, transporte, atención médica, gobierno y finanzas.

En una industria que aparentemente está bajo ataque desde todos los ángulos, los hoteleros ahora deben tomarse en serio la ciberseguridad de los hoteles. En los últimos años, las marcas más conocidas de la industria han sido víctimas del delito cibernético. Como tal, todos están invirtiendo e investigando para asegurarse de que no vuelva a suceder.

Echemos un vistazo más de cerca a la seguridad cibernética de los hoteles, las amenazas más comunes y qué hacer al respecto.

Riesgos de ciberseguridad y privacidad de datos en el sector hotelero

La simple verdad es que la seguridad cibernética y los problemas de privacidad de datos pueden ser una gran noticia y el interés periodístico impulsa los niveles de conciencia. El público, los legisladores, los reguladores y los jueces conocen los riesgos.

Estas personas brindan un «escrutinio adverso» a las entidades cuando las cosas salen mal y son plenamente conscientes del hecho de que algunas de las entidades más grandes, ricas y poderosas del mundo han sido humilladas por los malos enfoques de seguridad y privacidad.

2015 fue un año realmente malo para la industria hotelera a nivel mundial. La seguridad cibernética y de datos surgió como un área de riesgo masivo, debido a una serie de violaciones de alto perfil que afectan a las tarjetas de pago.

Esto ha establecido la necesidad de desarrollar programas integrales de seguridad de la información, ciclos anuales de auditoría de seguridad e investigaciones posteriores al incidente en el sector hotelero. Mirando esto desde el lado del cliente, los expertos en seguridad ahora están recomendando a los viajeros que estén alerta cuando usen hoteles.

Vamos a analizar las principales amenazas de ciberseguridad para los hoteles.

Ataques de phishing

El phishing se refiere al envío / recepción de correos electrónicos que parecen provenir de una fuente genuina. Un criminal que lo usa tiene la intención de convencer al destinatario de que debe compartir información. Eso es a menudo contraseñas e información financiera. Esta estafa es una de las más antiguas de Internet.

En los últimos años, esta amenaza se ha vuelto cada vez más sofisticada, con ataques dirigidos a quienes tienen autoridad. El objetivo es hacerse cargo de la cuenta de correo electrónico de un usuario para enviar correos electrónicos falsos a colegas. Estos correos electrónicos a menudo intentan persuadir a los destinatarios para que autoricen transacciones, que se ordenan desde arriba.

Ransomware

El más famoso de los recientes ataques de ransomware atacó simultáneamente a países y empresas de todo el mundo. El último ransomware, WannaCry, representaba una amenaza real al tomar información y ciertos sistemas como rehenes. El propósito de este ataque era obtener beneficios financieros de aquellos que pagaron la cifra demandada para liberar sus datos o sistemas.

Los hoteles tienen un alto riesgo de fallos de ciberseguridad que permiten que ocurra este tipo de ataque. Los hoteles que han caído en la trampa de este crimen han pagado en el pasado más de 17,000 dólares para permitir que los huéspedes ingresen a sus habitaciones y creen llaves electrónicas.

DDoS

Otra forma desagradable de ataque utilizada contra hoteles en todo el mundo es DDoS.

Llamado ataque de denegación de servicio distribuido, puedes estar familiarizado con él en relación con la web. Sin embargo, también es un truco de elección para aquellos que buscan apuntar a la amplia gama de sistemas que usan los hoteles.

Todos los días, los elementos habituales, como los sistemas de rociadores y las cámaras de seguridad, son vulnerables al secuestro. Después de lo cual, se puede hacer que sistemas informáticos completos se derrumben. La seguridad cibernética para los hoteles siempre debe incluir un proceso para mitigar cualquier sistema comprometido en caso de que se produzca un ataque DDoS.

Ataques a puntos de venta / tarjetas de pago

Los ataques en los puntos de venta representan la mayor amenaza para la industria hotelera en general. En lugar de atacar el hotel en sí, son un delito de terceros, lo que significa que atacan al vendedor. Y eso significa que en algún lugar hay una debilidad en el sistema que ha sido revelada por un error humano.

Los problemas de ciberseguridad de esta naturaleza a menudo provocan que los clientes se queden sin dinero y los medios se involucren. Lo que, por supuesto, significa mala prensa para un hotel.

Además, podría haber implicaciones financieras para el negocio.

Hackeo de DarkHotel

¿No estás familiarizado con el término DarkHotel? Es relativamente nuevo, en el que los delincuentes usan el Wi-Fi de un hotel para dirigirse a los huéspedes de negocios.

Los ataques utilizan certificados digitales falsificados para convencer a las víctimas de que una descarga de software es segura. Para permitir que esto suceda, los delincuentes cargan códigos maliciosos en el servidor de un hotel y pueden dirigirse a huéspedes específicos.

La primera instancia de piratería de DarkHotel se vio por primera vez en 2007 y se originó a través de redes de igual a igual y estafas de spear-fishing. Si tienes invitados preocupados por la piratería de DarkHotel, aliéntalos a usar redes privadas virtuales (VPN) si planean hacer negocios con datos confidenciales.

Datos del cliente / robo de identidad 

Proteger la identidad y la información de un cliente es primordial para el éxito de cualquier negocio y hotel.

Uno de los mayores riesgos que reportan los hoteleros es la cantidad de pirateo de la información de los huéspedes. Como tal, la seguridad de la red y la ciberseguridad es importante. Especialmente cuando hay delincuentes de todo el mundo que intentan robar identidades y datos de tarjetas de crédito.

Desafortunadamente, para los hoteleros, este crimen está cambiando para siempre. Lo que significa que cuando se trata de ciberseguridad para hoteles, es una carrera armamentista casi perpetua para proteger los datos y las redes.

Medidas de ciberseguridad a aplicar por los hoteles

Acceder a los datos del hotel es una bendición para los ciberatacantes. Una vez que ingresan, tienen acceso a números de tarjetas de crédito, información de pasaportes, detalles de vuelos e incluso algunos de los controles físicos del hotel. La ciberseguridad es un problema que los ejecutivos de los hoteles ya no pueden ignorar.

Además, con el actual incremento del uso de robots por las cadenas hoteleras, se introduce otro elemento más en los riesgos de seguridad. ¿Qué ocurriría si el robot es hackeado?

Los hoteles de hoy necesitan tomar la seguridad de los datos de un huésped tan en serio como la seguridad del lugar del evento físico del huésped. Hacerlo requiere la implementación de estrategias específicas de protección de datos del hotel.

Estas son las principales medidas de ciberseguridad a aplicar en los hoteles.

Capacitación en ciberseguridad para empleados

El error humano y las estafas de phishing se encuentran entre las principales causas de los ciberataques. Las posibilidades de que un empleado accidentalmente dé acceso a un hacker a su red y a los datos del hotel se minimiza con la capacitación adecuada.

  • Redacta un documento que describa las políticas de tu hotel sobre el uso responsable.
  • Restringe a los empleados la posibilidad de descargar o instalar software en los ordenadores de la compañía.
  • Limita la cantidad de navegación web permitida en los ordenadores que contienen datos de la compañía.
  • Capacita a los empleados para reconocer, eliminar e informar correos electrónicos o enlaces sospechosos, y enséñales a crear contraseñas seguras.

Lo más importante es crear una cultura de responsabilidad, para que los empleados sepan que también son responsables de proteger los datos del hotel.

Evaluación de riesgos de tu red 

Existen varios sistemas vinculados a la red del hotel. Estos pueden incluir sitios de reserva de terceros, líneas aéreas, sistemas de punto de venta, programadores de tarjetas electrónicas y más. También hay muchos dispositivos que se conectan al wifi del hotel.

Para evaluar adecuadamente el riesgo y elaborar un plan de ciberseguridad que no impida que el hotel funcione sin problemas, los ejecutivos del hotel deben realizar una evaluación de riesgos adecuada. Esto significa comprender dónde se guardan los datos específicos, quién tiene (o necesita) acceso a ellos y las implicaciones de que se vean comprometidos.

Además, esta evaluación de riesgos debe incluir un examen de proveedores externos para garantizar que su protección cibernética sea adecuada. Las debilidades en la ciberseguridad de un proveedor también podrían poner en peligro los datos del hotel.

Contratar un responsable de la seguridad de la información

No es suficiente incluir la ciberseguridad en la cartera de un ejecutivo ya sobrecargado. Para proteger adecuadamente los datos del hotel, alguien en el nivel ejecutivo debe ser directamente responsable, ya sea un Director de Información o un Director de Seguridad.

El trabajo requiere a alguien con experiencia técnica que pueda establecer contactos con diferentes departamentos, mantenerse actualizado sobre los cambios en el mundo de la ciberseguridad y establecer estándares para toda la empresa de arriba hacia abajo.

Vigila las amenazas internas a los datos de tu hotel

Los empleados con acceso a los datos del hotel pueden venderlos a terceros. Este tipo de infracciones son más difíciles de atrapar, ya que la persona que lo roba tiene acceso autorizado.

Puedes evitar esto limitando la tentación a través de la responsabilidad.

  • Define roles en términos de la cantidad de datos que requiere y limita el acceso a datos vitales del hotel a un número selecto de empleados.
  • Asigna credenciales de inicio de sesión únicas a cada empleado
  • Ordena cambios regulares de contraseña
  • Desactiva rápidamente las credenciales cuando los empleados se van.

Contratar un seguro de ciberseguridad

Es un error pensar que los datos del cliente no pueden protegerse después de un ataque. La protección de los datos del hotel antes de un ataque es ideal, pero si ocurre lo desafortunado, el seguro de ciberseguridad puede ayudar a tu hotel a pagar pasos importantes como notificaciones de clientes y monitorización de crédito.

No todas las infracciones deben publicarse. Pero aquellos que involucran datos confidenciales como tarjetas de crédito y números de seguridad social requieren notificaciones de los clientes. Además, los hoteles también deben proporcionar monitorización de crédito continuo para los huéspedes afectados.

Los hoteles de hoy deben proteger tanto la seguridad física como los datos del hotel de sus huéspedes. El uso de estas estrategias para adoptar un enfoque proactivo ante las amenazas cibernéticas es el primer paso para operar un negocio hotelero responsable.

Ejemplos de ciberataques a hoteles

Son muchos los ciberataques que han tenido como víctimas a hoteles. Veamos algunos de ellos.

En septiembre de 2015, se informó de una violación de datos en Brunswick Maine and Hotel, que posiblemente podría afectar la información de 2.600 huéspedes que se habían alojado en el hotel entre el 29 de noviembre y el 21 de julio.

La dirección del hotel indicó que se colocó malware en su ordenador de recepción y el director financiero creía que a través de una estafa de phishing, que pretendía ser un mensaje de un invitado, se instaló el malware.

El malware fue diseñado para evitar la demodulación del software antivirus. El objetivo del malware era capturar y permitir el control remoto del acceso a la información de la tarjeta de pago.

En marzo de 2015, los hoteles Mandarin Oriental experimentaron la violación de datos. La violación fue diseñada para obtener la información de la tarjeta de crédito y débito de aquellos clientes que usaron spa, bebidas, habitaciones, comedor y otros productos y servicios.

Del 18 de noviembre al 5 de diciembre de 2014 y del 21 de abril al 27 de julio de 2015 los hoteles Hilton en todo el mundo enfrentaron la violación y robo de datos. Afortunadamente, los piratas informáticos no pudieron obtener el nombre de los clientes, así como sus direcciones y números de identificación personal, sin embargo accedieron a los números de tarjeta de crédito más los códigos de seguridad y fechas de vencimiento.

En noviembre de 2015, cuatro días antes del ataque a los hoteles Hilton, Starwood Hotel Group recibió un ataque que causó violación de datos. Los hackers apuntaron al sistema de pago y potenciales fugas de datos de la tarjeta de crédito del cliente. La compañía también recibió la lista de hoteles afectados que incluyeron el Sheraton New York Times Square, el Westin New York Grand Central y St.Regis Bal Harbour Resort en Florida.