El sector turístico se ha posicionado como una de las tres industrias más ciberatacadas, al menos eso es lo que refleja uno de los últimos informes de la consultora Deloitte. La principal razón por la que este sector se encuentra en el ojo de huracán del cibercrimen reside en uno de los mayores activos en estos tiempos: los datos.

Los datos son almacenados y tratados por personas a través de redes y sistemas informáticos. ¿Y hoy en día qué empresa no utiliza las tecnologías de la información?

Hoteles, agencias de viaje y prácticamente cualquier negocio que se desarrolla en el sector turístico dispone de grandes bases de datos sensibles de usuarios y clientes que necesitan ser auditadas para evitar un escenario nefasto para una empresa: la fuga de información.

Securización es, precisamente, lo que se busca con el no tan nuevo Reglamento de Protección de Datos Europeos (GDPR por sus siglas en inglés). Decimos que no es novedosa porque, a pesar de haber entrado en vigor el pasado 25 de mayo, las organizaciones y empresas que operan en la Unión Europea han tenido dos años para adaptarse a la normativa.

En estos momentos, si un hotel sufre una fuga de información por un ciberataque, debe comunicarlo en un plazo máximo de 72 horas a las autoridades competentes, y eso conlleva unos costes muy altos, además de las famosas sanciones del GDPR. Esto lo veremos en las siguientes líneas.

Los puntos débiles y más atacados de un hotel

Hay que decir que el cibercrimen tampoco es una nueva actividad delictiva. Se lleva sufriendo desde antes de que Internet sea como lo conocemos hoy, y eso ha permitido que hoy hablemos de un nivel muy alto de sofisticación en los ataques a empresas.

El último informe de Fortinet analiza las ciberamenazas que han predominado en los primeros meses de 2018. Una de las recomendaciones que arroja es para las organizaciones con infraestructuras informatizadas: no demorar el análisis de riesgos asociados a la tecnología con la que se desarrolla la actividad, y a partir de ello, definir una estrategia de seguridad.

En un hotel, el sistema que compone el denominado Point-Of-Sale (POS) es uno de los objetivos de los ciberdelincuentes dado que es donde se produce la mayor transacción de información sensible. Aquí es donde la estrategía de seguridad debe tener en cuenta la auditoría de las aplicaciones web o móviles, así como de cualquier herramienta que interviene en el proceso de reserva de habitaciones o itinerarios.  

Otro punto crítico reside en las personas. En ciberseguridad se repite una máxima: el factor humano es el más débil. Esto es porque vectores de ataque como el phishing son los más utilizados por los ciberdelincuentes.

En un hotel, el phishing puede aparecer en forma de un correo que aparentemente proviene de un cliente. En él hay un archivo adjunto que puede ser un documento texto con malware, o bien un enlace que lleva a un sitio fraudulento.

Hay que tener en cuenta los picos de trabajo que se dan en la recepción de hotel. Momentos en los que se es vulnerable a un ataque phishing. Ante esto, la solución pasa por formar al personal para que sepan identificar las ciberamenazas y no se salten los protocolos de seguridad implantados en la empresa.

¿Cuánto le cuesta a una empresa ser víctima de un ciberataque?

Las amenazas informáticas están a la orden del día y la posibilidad de sufrir un ataque aumentan a medida de que crece la dependencia por la tecnología. Al mismo tiempo, es inevitable que surja la pregunta: ¿cuánto cuesta securizar una empresa?

Quizás antes de contestarla, sea mucho más útil saber cuál es el posible coste al que se podría enfrentar una empresa que no invirtió en su ciberseguridad.

No hay datos específicos para los hoteles, sobre todo, porque hasta ahora no estaban obligados a reportar una ciberincidencia tras haberla sufrido. Pero podemos echar un vistazo a los datos del último informe que sacó CISCO:

El 25% de empresas perdió clientes u oportunidades de negocio tras una brecha de datos.

El 32% de las organizaciones vieron cómo sus ingresos se redujeron tras un ataque.

El 54% de las empresas que sufrieron un ataque afirmaron que tras el incidente se sometieron a un fuerte escrutinio público.

En otras palabras, el daño económico que produce un ciberataque es evidente (4% de facturación anual o 20 millones de euros es la sanción más alta que se aplica con el GDPR), pero mayor es el daño que hace a nivel reputacional. Algo imposible de estimar de antemano, y que no merece la pena sufrir para comprobarlo.