Ciberseguridad en hoteles: el elemento clave del que no te puedes olvidar

El pasado 14 de mayo el Instituto Tecnológico Hotelero celebró el webinar Ciberseguidad: riesgos y estrategias en el sector hotelero para poner sobre la mesa cuál es la situación actual del sector hotelero en materia de ciberseguridad desde el inicio de la crisis del Covid-19 y, a su vez, poder facilitar soluciones y estrategias de cara a la progresiva reapertura del sector turístico.

Francisco García Lázaro, CISO y director de ciberseguridad de Palladium Hotel Group, abrió el debate preguntando a los participantes si particularmente en el sector turístico se ha notado un aumento en el número de ciberataques. Melchor Sanz, director de tecnología y preventa de HP declaraba que “ha aumentado ligeramente los ciberataques, pero sobre todo lo que ha cambiado es el vector del ataque, aprovechando la alarma social de la pandemia originada por el coronavirus, utilizando excusas sobre salud y haciéndose pasar por entidades gubernamentales y proveedores de este sector”.

Daniel Just, Business Hospitality Director de CERIUM Tecnologías añadía que “debido a la pandemia y el aumento del teletrabajo, hemos tenido que securizar en tiempo récord el número de conexiones VPN para evitar posibles ciberataques”. Por su parte, Juan Carbajal, director comercial de García Alamán, afirmó que “en los últimos meses el interés y contratación de ciberpólizas de seguros se han multiplicado por cinco en base a lo que estaba previsto inicialmente”.

Por otro lado, Joan Antoni Malonda, Tourism Business Developer de GMV, manifestó que “si bien el número de ciberataques ha aumentado considerablemente en el ámbito sanitario, los ciberdelincuentes están a la espera de que el sector turístico se reactive y utilizar esta situación para realizar nuevos ataques digitales aprovechando las campañas de marketing turísticas”.

Posteriormente, García Lázaro preguntó qué medidas debería abordar el sector del alojamiento en materia de seguridad digital. Malonda afirmaba que, “con la nueva normalidad, en el sector hotelero se abre un paradigma touchless, o contacto cero, en el que se van a dar diversos procesos que eviten el contacto físico como son el check-in y check-out online o la apertura de puertas a través de dispositivos”. Ante este panorama, “es de vital importancia tener en cuenta la ciberseguridad en el diseño de estas aplicaciones y soluciones, con acciones como, por ejemplo, el pentesting (test de penetración) para mejorar su seguridad, realizar auditorías y consultorías de manera exprés, o implementar aplicaciones de detección de presencia y accesos para controlar flujos y aforos en hoteles”. También destacó la importancia de la “vigilancia digital” a través de algoritmos para observar cuál es la percepción que se expresa en las redes sociales sobre nuestro destino en materia de seguridad y sanidad antes de viajar.

Desde CERIUM, Daniel Just quiso destacar que “el modelo de custodia de los datos de los huéspedes ha cambiado y, por ello, es de vital importancia contar con redes wifi e infraestructuras seguras tanto de cara al huésped como al personal y terceros”. Bajo esta premisa “hay que tener en cuenta, además de las responsabilidades legales, el daño reputacional que puede sufrir nuestro establecimiento tras un ciberataque”. Para evitarlo “hay que tener una estrategia equilibrada entre seguridad y usabilidad basada en tres reglas básicas: mínima exposición, mínimos permisos y protección en profundidad”. Sistemas como portales cautivos que identifiquen a los huéspedes y que cuenten con servicios de seguridad añadidos, infraestructuras de antenas con medidas seguras, redes corporativas con protección perimetral o sistemas de protección endpoint son soluciones asequibles, necesarias y adaptadas a todo tipo de hoteles y establecimientos turísticos.

A todo esto, Melchor Sanz añadía que “en cuanto a dispositivos como ordenadores e impresoras, es necesario protegerlos por capas, incluyendo en ellas sistemas que eviten posibles brechas o intrusiones de forma remota, sistemas de filtro de privacidad en pantallas, así como soluciones de detección de ataques o intentos no autorizados en el caso de impresoras”. Además de estas propuestas, “es importante contar en hoteles con mecanismos y procedimientos resilientes, capaces de bloquear intentos de accesos no permitidos, que puedan notificar al personal de forma inmediata lo que está pasando en tiempo real, así como elementos de recuperación automática del sistema tras un ciberataque. Un ejemplo de ellos son los SOC (Centro de Operaciones de Seguridad), es decir, agentes de ciberseguridad que vigilan y monitorizan información de muchos puntos para poder detectar posibles vulnerabilidades y evitar así posibles ataques”.

En el caso de que los sistemas del hotel hayan sido atacados o se haya producido una pérdida de información sensible, Juan Carbajal aclaraba que “es importante contar con una póliza de ciberseguridad que ayude al hotel o establecimiento turístico a gestionar estas situaciones, evitando los costes asociados de un ciberataque o pérdida de información, que cubra las responsabilidades que tiene el propietario o responsable legal del establecimiento frente a reclamaciones de terceros”. Además, añadía que “otros de los mínimos que debe cubrir un ciberseguro son los costes de recuperar los sistemas de gestión del hotel, asistencia externa disponible para pymes y establecimientos turísticos con pocos recursos, así como cubrir el impacto de un ciberataque que afecte a los canales de comercialización y proveedores del establecimiento”.

Por último, todos coincidieron en que un valor fundamental de la seguridad digital pasa por la concienciación y formación de todo el personal en ciberseguridad, que sea un elemento común y de carácter transversal a todas las empresas, ya que el 90% de las incidencias tienen que ver con las personas.

Si quieres volver a ver el webinar puedes hacerlo en el siguiente enlace.