Los ataques por internet a hoteles van a más y apuntan mejor

Hace ahora un año, el gurú de la ciberseguridad, Eugene Kaspersky, apenas podía avanzar unos metros en el vestíbulo principal del World Economic Forum (WEF) en Davos, Ginebra, sin que fuera parado por el presidente de alguna compañía o jefe de Estado.

Hasta entonces, la amenaza de los ciberataques había sido un asunto muy secundario en Davos. Pero 2015 fue el primer año en que este tema se convirtió en uno de los mayores protagonistas.

Así que cuando los periodistas preguntaron a Kaspersky cómo han evolucionado los ataques informáticos en los últimos 25 años, desde que él está en el negocio de la ciberseguridad, se rió a sabiendas.

“Hace 25 años eran bicicletas sencillas. Hace 10 años eran coches. Ahora son transbordadores espaciales”.

Buena parte de ese arsenal de última generación apunta ahora a la industria turística.

A por los datos de pago de los huéspedes

Concretamente, y en el caso de Hyatt, la compañía había encontrado un malware (programa informático malicioso) en los ordenadores que procesan los datos de pago de sus huéspedes.

La cadena hotelera aseguró entonces que el problema ya había sido solucionado, pero avisaba a los clientes que revisaran sus cuentas bancarias por si acaso detectaban cualquier actividad inusual.

Aunque Hyatt tiene 627 hoteles, sólo se vieron afectados por este fallo de seguridad los 318 establecimientos que gestiona directamente, mientras que los franquiciados no sufrieron este percance.

Pero según añadia la BBC, otras grandes cadenas hoteleras como Hilton, Mandarin Oriental, Starwood y Trump Collection también se tuvieron que enfrentar a problemas de seguridad relacionados con la información sobre pagos de sus clientes durante 2015. Ver la noticia de referencia en Hyatt hotel visitors hit by payments system hack.

Los datos de las tarjetas de crédito de los huéspedes de un hotel son uno de los objetivos más codiciados por los piratas informáticos.

Puerta de entrada

¿Qué está pasando en el sector? ¿Acaso internet es por definición una puerta de entrada a todo tipo de amenazas online?

"Por supuesto. Desde que iniciamos el camino a un mundo interconectado a través de internet, empezaron a surgir amenazas asociadas al nuevo entorno", explica Xavier Ferretjans, director de Binaura Risk Intelligence, una empresa especializada en consultoría y auditoría, socio de Dingus, proveedor especializado en sistemas de distribución online para hoteles.

Y es que según indica este experto, "las amenazas han ido evolucionado siendo más sofisticadas y efectivas para contrarrestar los medios de protección que se iban instaurando (antivirus, cortafuegos, etc.)".

"En realidad", dice Ferretjans, "las amenazas siempre han funcionado igual, sea el entorno que sea: se intenta conseguir un objetivo que puede ser dinero, información, etc, a través de una situación vulnerable como el desconocimiento, la falta de medidas de seguridad o errores".

Esta amenaza permanente ha llevado a la creación de nuevas normas internacionales en materia de gestión de seguridad de la información, por ejemplo la ISO 27001, que ha implementasdo Binaura Risk.

¿Pero de qué modo los sistemas de reservas online de habitaciones pueden acabar convirtiéndose en agujeros por donde entran amenazas?

El problema, explica el directivo, es que "las aplicaciones basadas en web son objetivos prioritarios para los ataques, ya sean organizados o no. Los sistemas de reservas online se encuentran ampliamente expuestos a dichos ataques, por consiguiente".

Y además, señala este experto, "los portales de reservas son una fuente inagotable de información de clientes, entre las que se incluyen las tarjetas de crédito. Cuanto más valioso es el objetivo, mayor es el número de ataques que existen para conseguirlos, o más sofisticados".

Las soluciones son diversas: establecer nuevos protocolos para proteger el entorno online y el propio sistema; incorporar infraestructuras de red seguras para evitar ataques; introducir nuevos tipos de programación que fortalezcan las redes, nuevos sistemas de recogida, tratamiento y almacenaje de tarjetas de crédito a través de la norma internacional conocida como PCI-DSS, ciberseguridad, etc, según explica Xavier Ferretjans.

Inversiones

Lo cierto es que la ciberseguridad es un tema que cada vez gana más peso en las deliberaciones y decisiones de inversión de las empresas turísticas.

Así, el estudio "Proyectando el futuro de la distribución hotelera y del marketing online"', basado en la investigación desarrollada a finales de 2015 con representantes del sector hotelero durante la feria World Travel Market de Londres, apuntó tres necesidades críticas para el sector.

La primera, gestionar las relaciones con los huéspedes. La segunda, integrar los sistemas tecnológicos. Y la tercera: mejorar la recopilación y seguridad de datos.

"Los hoteleros tienen acceso a un volumen de Big Data mayor al de cualquier otro actor: el de sus propios huéspedes", recordaba uno de los autores de dicho estudio.

Y es que según concluye Javier de Cabo, director de operaciones de Dingus, la seguridad de la información ha pasado a verse como una inversión que requiere métodos de gestión ISOs y una "permanente vigilancia".