Semana Santa: alertan de ciberataques de phishing en hostelería
José Antonio Pinilla es el CEO de Asseco Spain, empresa especializada en soluciones tecnológicas, desde 2016 y ha impulsado su reconversión del mercado del hardware, donde ya estaba presente, al desarrollo de software y soluciones tecnológicas. En esta entrevista, Pinilla realiza para HOSTELTUR un detallado análisis del phishing como riesgo en auge para la ciberseguridad de las empresas del sector turístico. Pero no en el futuro, sino esta misma Semana Santa.
En los últimos años, aunque no lo sepa la mayoría de las personas, la realidad es que casi todos los actores del sector hotelero han experimentado ciberataques de forma frecuente y, obviamente, al igual que el resto de las organizaciones, han tenido que responder a retos de diversa naturaleza en materia de ciberseguridad para asegurarse de evitarlos y de reducir al máximo las posibles consecuencias de estos ataques.
No podemos olvidar que el sector hotelero ha sido por tradición uno de los grandes perjudicados de los ciberataques por el número de datos de clientes que maneja. En este sentido, todo parece indicar que poco a poco el sector volverá a retomar esa tercera posición que tenía en 2020, antes de la pandemia, como uno de los sectores que más ciberataques recibía después del sector distribución y el de servicios financieros.
Tomando en cuenta este contexto y un poco por lo que hemos visto en Asseco, hay varios delitos que siendo generales para todo tipo de organizaciones, vemos que están muy presentes en el sector de la hostelería, entre los que destaca el phishing, que suele ser uno de los crímenes más habituales y que en los últimos meses ha estado in crescendo, también afecta de gran manera al sector hotelero.
«El ciberataque que sufrió Booking se basa en un tipo de phishing en donde se intentan robar las contraseñas de los usuarios mediante ventanas emergentes (pop-ups) que aparecen en la misma web de Booking»
Otro tipo de ataque común para el sector hotelero es el del ransomware donde se secuestran datos y luego se pide un rescate por ellos. Es más, ese fue el caso de Holiday Inn en donde la empresa estuvo a punto de verse afectada por un ransomware y finalmente logró evitarlo. Sin embargo, no fue capaz de librarse de un ataque wiper donde los ciberdelincuentes no secuestran la información, pero sí la eliminan.
En tercer lugar, tenemos los ataques a los servidores de red (conocidos como ataques de denegación de servicio), que hacen que los servicios o recursos sean inaccesibles. En el caso de los hoteles, por ejemplo, esto puede poner en jaque los servicios de reserva en línea o de los sistemas de gestión de huéspedes o inhabilitar recursos como la red Wi-Fi.
Otro ataque que es importante recordar —aunque cada vez las personas son más conscientes de los riesgos que conlleva conectarse a las redes wifi— son los hackeos que suelen hacer ciberterroristas para intentar extraer la información personal de los huéspedes conectados a las redes wifi de los hoteles o infectar sus dispositivos con malware o trazar un plan para obtener sus datos financieros. En este sentido, es siempre recomendable la conexión por VPNs.
¿Cuál es la situación respecto a los ataques de phishing que afectan a la hotelería española en 2023?
2022 fue un año complicado en cuanto a ciberataques y la situación este 2023 no está siendo muy diferente. En el caso del sector de la hotelería, un estudio realizado por IBM Security reveló que 2,7 millones de euros fue el coste total medio de los ciberataques en el sector en 2022 .
Por otra parte, como comentaba anteriormente, hace apenas unos días la plataforma Booking sufrió un ciberataque en el que varios usuarios fueron estafados con un supuesto problema durante el proceso de pago y a finales del año pasado, la plataforma de Holiday Inn, que pertenece a Intercontinental Hotels Group, también sufrió un ciberataque basado en la técnica de ransomware.
«La realidad es que estamos ahora en un escenario de incremento de los ciberataques a nivel global y precisamente el sector de la hostelería es uno de los que más ciberataques registra porque al final, es uno de los que mayor número de datos tiene de sus clientes»
Antes de la pandemia, los hoteles eran víctimas del 13% de los ataques cibernéticos, según el Informe de Seguridad Global 2020 de Trustwave Y ahora, a medida que se reactiva el turismo, los viajes y el ocio, es probable que el sector vuelva a estar en el foco de los ciberataques. Sobre todo, pensando en la época de incremento de ataques que vivimos desde inicios de 2022.
¿Se espera un aumento de suplantación de identidad de cara a la Semana Santa?
Es probable que la suplantación de identidad se incremente en Semana Santa. Por concepto general, los periodos de mayor actividad y consumo por parte de los usuarios, suelen ser espacios de tiempo donde se incrementan los ciberataques. Y ahora mismo, la suplantación de identidad ha aumentado en un 20%, lo cual es grave no solo por el número de casos, sino también porque se han aumentado las pérdidas financieras provocadas por este tipo de ataques.
«El otro día leía en un estudio que durante febrero y marzo se han detectado un total de más de 33 mil ataques de suplantación de identidad de empresas y servicios conocidos como Google y PayPal»
Tomando en cuenta, además, que en los picos de actividad y rentabilidad de las empresas (Semana Santa para el sector hotelero), los ciberataques suelen incrementarse, y que son periodos de muchas transacciones y ello hace que sea más difícil atajar todos los ataques de forma reactiva, sí que es bastante probable que aumente el número de ciberataques en general y en particular del tipo de suplantación de identidad.
Si me preguntas, la clave siempre para las organizaciones es prepararse de forma proactiva para estar listos para protegerse y defenderse de ciberataques en estos momentos de elevada actividad y, sobre todo, es clave trabajar para educar y formar al personal, e incluso concienciar al cliente para que esté preparado para enfrentar a los ciberataques, y saber cómo actuar y responder.
¿Qué rol ocupa la ciberseguridad en el plan de transformación digital de los hoteles?
La ciberseguridad es clave para lograr una transformación digital eficiente. A medida que digitalizamos operaciones, las hacemos más eficientes y optimizamos procesos y presupuestos en muchos casos. Sin embargo, también es verdad que a medida que las organizaciones y la sociedad se digitalizan, los riesgos de los ciberataques son mayores.
En este sentido, la ciberseguridad debe ser un elemento central dentro de los planes de transformación digital de las organizaciones y debemos invertir dinero, esfuerzo y tiempo en contar con medidas de seguridad para la red a la vez que capacitar a los empleados y clientes en cuanto a la gestión de amenazas cibernéticas, la evaluación y monitoreo de riesgos y la gestión de contingencias y ataques en caso de sufrirlos.
«Se deben realizar inversiones en tecnologías y sistemas de digitalización. Estas suelen ser nuestras recomendaciones para las empresas con las que trabajamos»
Hoy en día, casi la totalidad de las personas se benefician de la digitalización y hacen reservas de hoteles de manera online, incluso al momento de pagar casi todos lo hacemos mediante pagos electrónicos, por ello es clave cuidar estas operaciones y debemos trabajar en pro de su seguridad, es decir, en favor de la ciberseguridad.
¿Qué recomendaciones en materia de ciberseguridad puede implementar el sector?
Lo primero que siempre nos gusta recalcar desde Asseco es la importancia que tiene generar una conciencia sobre la importancia de la ciberseguridad y entender bien a qué riesgos nos enfrentamos como organización y a cuáles exponemos a nuestros diferentes stakeholders. A partir de ese punto, una palanca a activar siempre son las formaciones y trainings al personal y el equipo de empleados.
A partir de ahí, poniendo la mirada en el sector hotelero, probablemente también podría ser recomendable hacer campañas para concienciar a sus usuarios -que son los huéspedes- sobre los ciberataques y en cierta forma, educarlos y hacerles ver qué sí hará y qué no la organización, y qué información personal y financiera les pedirá y cuál no pedirá nunca.
En este sentido, una buena práctica que vi hace unos meses fue una campaña que realizaron las entidades bancarias, aquí en España, donde enseñaban a los usuarios qué datos nunca les pedirían y los educaban sobre posibles ciberestafas como el phishing, vishing, etc.