Ciberseguridad: las pymes turísticas solo aprenden después de un susto

Malonda, que lleva casi 20 años en su empresa y los últimos siete dedicado a la definición de estrategia business developer en la parte del turismo, confirma que "la preocupación ha ido en auge" entre las empresas del sector, en paralelo con el repunte de ataques que se ha experimentado tras la pandemia, ya que los hackers lo consideran muy atractivo porque reúne muchos datos personales de clientes -al igual que la banca- que ellos pueden explotar.

El experto participa este martes en la UIB en un evento sobre Ciberseguridad y Turismo organizado por el Instituto Nacional de Ciberseguridad (INCIBE) y cuenta con la colaboración de la Sociedad Mercantil Estatal para la Gestión de la Innovación y las Tecnologías Turísticas (SEGITTUR)

Información sobre la jornada de hoy en este enlace:

-Ciberseguridad en turismo: el sector responde a la amenaza

© Christina Morillo

Malonda ha lamentado que muchas compañías de esta actividad están "muy desprotegidas", al contar "solo con un antivirus y un sistema de backup", lo cual es muy insuficiente hoy en día. No es un asunto baladí, porque los riesgos son muchos y muy graves: "si no tienes ciberseguridad en la empresa, no puedes ser competitivo", ha proclamado. Y, de hecho, considera que la carencia de recursos para contener o eludir los ciberataques "lo que hace es limitar la operativa de las empresas, que no pueden funcionar con normalidad cuando son atacadas", ha precisado.

"Un control de acceso sin contacto físico debe entrar en el plan de ciberseguridad, porque puede ser hackeado y luego abierto"

Y, como pasa tantas otras veces... "si no estás preparado, puedes llegar a perderlo todo". En este caso, se puede hablar de varios tipos de pérdidas: "están las pérdidas directas, la multas y la pérdida reputacional", y de ellas considera más dañina para las empresas esta última. En cambio, "una buena ciberseguridad te hace competitivo, porque te pone en la vanguardia", ha subrayado.

"Hay muchos dispositivos desprotegidos. Todo el mundo tiene en cuenta los ordenadores y los servidores, que son los más evidentes. Pero cada vez hay más dispositivos IOT (internet of things) que están conectados a la red y no se consideran parte de los sistemas a proteger", ha explicado el experto. Pero la realidad es que si está conectado a internet, es vulnerable, ha considerado el experto.

Joan Antoni Malonda es Tourism Business Developer en GMV.

Entre otros, ha aludido a TV inteligentes, termostatos, cerraduras de puertas y ventanas, control de luces… Todos ellos han sido atacados en diversos hoteles. Y aquí cabe aclarar que en estos establecimientos, además del público general, pueden alojarse diplomáticos, altos cargos, personalidades públicas, famosos de todo tipo, etc. Es decir, posibles objetivos tanto de delincuencia como de terrorismo.

Casos impensables

"Se han producido ataques a termostatos de una cadena hotelera española, y han variado la temperatura de una piscina. En este caso se detectó con cierta celeridad y se quedó en una anécdota. Un termostato no sube de manera repentina, sino que es progresivo, nadie se quemó". Otro hacker se coló en una pecera de un casino y, a través de los dispositivos de control de la misma, accedió a información de los clientes y robó.

Casos previsibles, pero que siguen pasando: "uno fue un ataque al portal web donde se podían hacer las reservas y gestionar todo el negocio de la empresa. Accedieron a los servidores, borraron toda la información y dejaron una nota en la que pedían dinero para devolver los datos". Se trata de un tipo de ataque que también se ha producido frecuentemente en administraciones públicas.

"Nadie nos vamos a librar. Hay dos tipos de empresas, las que ya han sido atacadas y las que lo serán. Por eso, se trata de poner todas las trabas posibles"

Pero, sin duda, la modalidad que está progresando más hoy en día es el 'phishing' en sus diversas variantes: "Cada vez hay más, y están mejorando. Ahora está apareciendo el 'smishing' -a través de los mensajes SMS-. Hemos visto una mejora del comportamiento de las personas ante phishing, pero con los SMS bajan la guardia" y por eso tienen más éxito, ha razonado Malonda.

Cada vez más indetectables

Y también está el 'spearphishing": "son ataques de ingeniería social mucho más dirigidos. Lo hemos visto mucho en la administración pública, porque tienen que publicar mucha información que es pública y las empresas proveedoras o ciertos servicios se pueden simular". Ahora están llegando a otros sectores de actividad, entre ellos el turismo.

Por tanto, hay que estar preparado."El eslabón más débil de la cadena de la seguridad es el ser humano, al final, estos enlaces progresan porque se clicka un enlace malicioso. La clave es la concienciación, tenemos que ser muy conscientes de lo que se publica en las redes sociales", donde proliferan tanto los datos personales como otros empresariales, que son críticos porque se pueden usar para delinquir.

Según este experto en ciberseguridad, la mejor forma de prevenir situaciones difíciles es la formación continua para los empleados de las empresas turísticas, a través de píldoras formativas, generación de contenidos específicos y, actualización constante. "La ciberseguridad debe entrar en los planes de formación continúa", ha precisado Joan Antoni Malonda.