Los hoteles, una presa muy apetitosa para los hackers

Lo más sorprendente del caso de Marriott es que se detectó el robo en la plataforma de reservas de su filial Starwood en septiembre, pero luego comprobó que le sustraían información desde hacía cuatro años. La Business Development de la empresa de seguridad digital A2Secure, Cristina Mallén, explica que lo más probable es que cuando Marriott compró Starwood en 2016 también "compró una brecha de seguridad" que venía con la empresa adquirida.

El caso es que esta fuga masiva de datos le va costar muy cara a Marriott, no solo en credibilidad, sino también en su cuenta de resultados. Se enfrenta a una multa de 20 millones de euros por parte de la Unión Europea y en Estados Unidos dos gabinetes de abogados han anunciado ya que denunciarán a la compañía por ese fallo de seguridad.

Clientes de Sheraton están entre los afectados por el hackeo de los datos de 500 millones de clientes de la filial Starwood de Marriott.

Pero no ha sido Marriott la única hotelera que ha sufrido un hackeo este año. El pasado 1 de octubre, Radisson Hotel Group detectó una fuga en su plataforma de reservas, aunque no le sustrajeron números de tarjetas de crédito pero sí información personal de sus clientes.

También este año, HOSTELTUR ha publicado cómo la aerolínea de Hong Kong Cathay Pacific sufre un hackeo masivo y le roban datos de 9,4 M de clientes y casi 400.000 pagos a British Airways, afectados por el robo de datos.

Los ataques de los hackers a las empresas han sido tan habituales en los últimos doce meses que el responsable de ciberseguridad de la consultora norteamericana Cybereason, Sam Curry, ha calificado este 2018 como "el año del robo de datos" con cientos de compañías afectadas.

Tarjetas en el mercado negro

¿Pero por qué están los hoteleros en el punto de mira de los hackers? "Hay que entender que su negocio no es la tecnología, sino la gestión hotelera, que, aunque sustentada hoy día por tecnología no se tratan de empresas 100% tecnológicas de manera que sus niveles de seguridad no son tan elevados, lo cual, las hacen más apetitosas para la delincuencia organizada a la que nos enfrentamos", explica Mallén.

Y recuerda que el hotelero es un sector que maneja un gran volumen de información y en estos momentos la venta de datos de clientes es una “manera fácil y rápida” para las mafias de ganar bastante dinero.

"Las tarjetas de crédito con las que pagamos nuestras estancias en hoteles son valiosas en el mercado negro ya que a posteriori se puede realizar actividades de fraude bastante lucrativas", apunta.

En España, aunque en los últimos años ha surgido una gran "sensibilización con la ciberseguridad por parte del sector turístico", la Business Develoment de A2Secure considera que en nuestro país "se ha llegado un poco tarde y hay que acelerar la marcha" para ponerse al día.

Obligación de notificar incidentes

Lo cierto es que España no se libra de los ataques informáticos. Aunque a ninguna empresa le gusta anunciar que ha sido hackeada, con el nuevo reglamento de protección de datos europeo que ha entrado en vigor este año, existe la obligación de notificar los incidentes de seguridad. Y solo desde el pasado mes de mayo, la Agencia Española de Protección de Datos ha recibido más de 418 notificaciones de brechas de seguridad.

Sobre el nivel de protección de las empresas turísticas españolas frente a esta amenaza, Mallén señala que "nos encontramos en situaciones con empresas que están a la vanguardia en temas de ciberseguridad y otras que necesitan un total replanteamiento de estrategia".

No obstante, reconoce que cualquier empresa puede sufrir un ataque, porque "la garantía al 100% no existe", por ello "la tendencia actual es intentar trabajar en la detección y reacción para minimizar el daño".

¿Pero cómo consiguen esta ciberdelincuencia acceder a las bases de datos de las empresas? Existen múltiples maneras, pero las más habituales son aprovecharse de alguna vulnerabilidad en los departamentos de Información y Tenología (IT) o a través del denominado ‘phishing’, acceso por medio del correo electrónico a la base de datos a través de robo de credenciales, escalados de privilegios, entre otras artimañas.

Mayor concienciación

Para protegerse, la mejor recomendación para las empresas por parte de A2Secure es una mayor concienciación en el ámbito laboral y dotarse de un plan estratégico de ciberseguridad.

"Hay tendencia a lo que nosotros llamamos la cacharrería (sistemas) y la realidad es que no es el mejor enfoque. Es importante entender con qué trabajamos, qué información estamos gestionando y cómo la seguridad ha de intervenir en estos procesos mitigando los riesgos a los que nos enfrentamos, no simplemente incorporando parches y parches", explica Cristina Mallén.

Sin embargo, protegerse de los hackers no es barato para las empresas y “todavía ciertos mandos pueden ver la ciberseguridad como un coste, no como una inversión necesaria”, matiza la consultora de A2Secure.

Pero es una amenaza muy presente sobre la que cada vez hay una mayor conciencia en las compañías. Prueba de ello es que un reciente estudio de la consultora Gartner estima que las empresas a nivel mundial incrementarán un 12% la inversión en ciberseguridad respecto años anteriores debido a los ataques masivos que se están produciendo.

En esta línea, la compañía de análisis de datos GlobalData, calcula que para 2021 los ingresos por servicios y productos relacionados con la seguridad de las redes y sistemas informáticos a nivel mundial superen los 123.000 millones de euros, un 22,7% más que en 2017.