Los clientes de hotel preferidos por los hackers: ejecutivos y celebrities

“Hasta una persona con unos mínimos conocimientos de informática, y que puede aprender a través de tutoriales en internet, podría llevar a cabo un ataque con consecuencias desastrosas para un hotel y sus huéspedes, haciéndose con información muy sensible”, expone este experto en ciberseguridad.

Pedro Candel fue uno de los ponentes invitados a la jornada “Seguridad en el entorno digital: retos para el sector turístico y hotelero” organizada por la Facultad de Turismo y Dirección Hotelera de Sant Ignasi el pasado lunes en Barcelona.

“La técnica del intermediario o ‘Man in the middle’ consiste en que alguien desvía la comunicación y lee lo que escribes, pudiendo insertar cualquier mensaje que envías o que recibas”, explica Pedro Candel.

“Típicamente este tipo de ataque se produce cuando un cliente se conecta a la wifi de un establecimiento y alguien, que puede encontrarse en la cafetería de enfrente o en una habitación del propio hotel, se mete en medio, rompiendo el enlace y haciendo que el tráfico datos pase a través de él”, según indica este hacker ético.

Otros ataques no llegan por la red wifi sino por la conexión cableada a internet y pueden proceder desde cualquier parte del mundo.

Cabe apuntar que, en el inicio de 2017, se ha sabido que InterContinental sufrió un robo de datos de tarjetas en 12 hoteles en EEUU y que un ciberataque a la web de ABTA afectó a más de 40.000 personas. Ver también el tema de portada El turismo, objetivo prioritario de los ciberpiratas publicado el pasado septiembre.

Hoteles, el tercer objetivo más deseado

Xavier Gracia, socio de Cyber Risk Services de Deloitte, confirma que los ataques informáticos en el sector turístico “están creciendo exponencialmente” y de hecho los hoteles han pasado a ser el tercer objetivo preferido de los hackers, tras los servicios financieros/banca y seguros”.

Los cibercriminales no hacen ascos a ningún tipo de huésped, por muy perfil bajo que pueda tener la víctima: ellos recopilarán cualquier tipo de dato y luego otras personas de su organización ya se encargarán de ordenar la información, clasificarla y ponerla a la venta.

Ejecutivos y famosos, los huéspedes más acechados

Pero sí hay un tipo de viajero especialmente acechado: los ejecutivos de empresas que se alojan en hoteles. “Uno de los vectores de ataque es el directivo porque esta persona suele tener privilegios para entrar a determinadas bases de datos de su compañía, se mueve muchísimo y maneja información muy sensible”, apunta el responsable de Deloitte para ciberseguridad.

Los famosos (cantantes, artistas, etc, cuyos móviles almacenan fotos, contactos, conversaciones de whatsapp, etc) también están en el punto de mira de los piratas informáticos, según añadió este experto.

Organizaciones criminales muy sofisticadas

Porque además los ciberdelincuentes suelen trabajar de manera coordinada con organizaciones que cuentan con sus propios “departamentos”: arquitectura informática, producción de malware (software maligno), distribución, clasificación, ventas de bases de datos, etc.

“Hace años los ataques eran muy notorios por su volumen, ahora son mucho más complejos y ha cambiado el foco, son más específicos, y encontramos malware bancario, farmacéutico, hotelero…”

“Y en la internet profunda se compra y se vende de todo: encargar un malware para atacar a una empresa determinada son 3.000 euros; spam a un millón de correos de dirección válidas, 150 dólares; ataques de denegación de servicio, por 1.000 euros”, explica Xavier Gracia.

Y es que “cada pieza es monetizada: desde tus mensajes de whatsapp a tu dirección física… No se desecha nada”.

Un viajero de negocios con su smartphone y ordenador portátil, dispositivos que suelen conectarse a la red wifi de un hotel.

Consecuencias para los hoteles afectados

Y las consecuencias van mucho más allá de las simples pérdidas económicas que pueda sufrir el cliente o el hotel: “también puede haber sanciones legales y por supuesto daños a la reputación de la empresa afectada”, apunta Gracia. Ver también Acuerdo entre la Fiscalía y Trump Hotels tras no evitar robo de información.

Por todo ello, insiste este experto, “debe ponerse la ciberseguridad en la agenda del CEO de cualquier empresa: esto no es un simple problema que deben resolver los técnicos informáticos, sino un desafío que genera riesgos mayores”.

La gran paradoja, tal como reflejó la citada jornada organizada por HTSI, es que la transformación digital de los negocios turísticos requiere precisamente obtener la máxima información posible del cliente para personalizar ofertas, ofrecerle servicios de valor añadido, etc. Datos cruciales que en muchos casos un hacker podrá obtener con una facilidad pasmosa.

Asistentes a la jornada sobre ciberseguridad en hoteles organizada por la facultad de Turismo HTSI Sant Ignasi