Ciberexpolio hotelero: se extiende el robo de datos de tarjetas de crédito

Y es que, como explican desde PandaLabs, “cuando un ciberdelincuente piensa en un hotel, piensa en una empresa con un volumen de negocio muy suculento que cuenta con millones de habitaciones utilizadas por millones de clientes, que genera negocio por sí misma pero que a su vez ofrece una tajada extra: las tarjetas de crédito de todos sus clientes”.

Un sector, en suma, que “factura miles de millones de dólares, que gestiona el descanso de millones de huéspedes cada día y que almacena una cantidad ingente de datos muy sensibles y comprometedores”, por lo que “se ha convertido en un blanco muy suculento”.

En este sentido los expertos señalan que “2015 ha marcado, sin duda, un antes y un después en lo que se refiere a intrusiones y robo de información de sus clientes. Todas las compañías, sin importar su tamaño, han sido objetivo de diferentes bandas de ciberdelincuentes”, no sólo las cadenas hoteleras en sí, sino también las que les prestan servicios como White Lodging, que pasan así también a “formar parte de sus objetivos”.

Básicamente los ataques consisten en malware diseñado de manera específica para robar información de las tarjetas utilizadas en los terminales de punto de venta (TPV), no sólo del hotel en sí sino en restaurantes, tiendas y servicios complementarios del establecimiento. Y ponen algunos ejemplos:

- Starwood Hotels & Resorts Worldwide protagonizó en noviembre de 2015 el mayor ataque hasta al momento contra el sector hotelero, por el que los ciberdelincuentes robaron información de tarjetas de crédito en 105 de sus hoteles.

- Hyatt Hotels superó el récord de Starwood pocos días antes de finalizar el pasado año cuando anunció que entre julio y septiembre los TPV de 249 de sus hoteles en 54 países habían sido infectados.

- Mandarin Oriental Hotels sufrió un ataque similar en marzo de 2015 en algunos de sus hoteles en Europa y América que robaba la información de las tarjetas de crédito según iban siendo actualizadas.

- Hilton Worldwide: en noviembre de 2015 reconoció el robo de información de las tarjetas de crédito utilizadas en los terminales de punto de venta.

- Trump Hotels: entre mayo de 2014 y junio de 2015 los ordenadores y terminales de punto de venta de siete de sus establecimientos fueron infectados y los atacantes se hicieron con los datos de las tarjetas de crédito utilizadas por sus clientes.

- Hard Rock Las Vegas: durante siete meses los delincuentes accedieron a los datos de 173.000 tarjetas utilizadas en sus restaurantes, bares y tiendas, aunque no en el propio establecimiento o en el casino.

- Rosen Hotels & Resorts es hasta el momento la última víctima, aunque el malware que ha infectado sus terminales de punto de venta ha estado durante año y medio recopilando la información sobre las tarjetas de crédito utilizadas sin que sus responsables se percataran. La cadena no ha revelado el número de tarjetas afectadas.

Desde PandaLabs advierten “que los ataques sufridos no son algo casual o pasajero, sino que hay detrás un verdadero interés económico y en pasar desapercibido. Indudablemente se trata de una situación preocupante que, además del importante impacto económico, causa un gran daño a la imagen del sector y siembra el miedo entre sus clientes”.

Adoptar medidas

“Malware que infecta terminales de venta para robar los datos de las tarjetas de crédito, ataques dirigidos contra los sistemas de gestión de las cadenas hoteleras para obtener su información más confidencial, la vulnerabilidad creciente de los empresarios y sus clientes y el daño reputacional, son realidades tangibles a las que se enfrentan las cadenas diariamente”, insisten los expertos.

Por ello afirman que “tomar medidas al respecto ya no es una opción. Los hoteles se han visto obligados a reforzar la seguridad de sus redes, dispositivos y sistemas para evitar ser víctimas de este tipo de amenazas”.

El informe se encuentra disponible en el documento adjunto.