Cómo protegerse del ciberdelito

El sector turístico es un conglomerado de empresas muy diferentes, que van desde alojamientos y restaurantes hasta operadores o compañías de alquiler de vehículos. Son negocios cada vez más conectados y digitales que dependen de tecnologías en la nube -plataformas de gestión de clientes o pasarelas de comercio y pago electrónico-, de la internet de las cosas o de sofisticadas herramientas de análisis de datos.

Las empresas del sector turístico están muy expuestas, así, a unos ciberataques entre los que, según la oficina de ciberseguridad de la Unión Europea, destacan el ransomware (los atacantes encriptan y bloquean los datos de la organización y piden una recompensa para restaurar el acceso), el cryptojacking (los ciberdelincuentes utilizan la capacidad informática de la empresa para minar criptomonedas) o el malware (software que desencadena un proceso que afecta al sistema informático en forma de virus que pueden ser la puerta de entrada de cualquiera de las anteriores amenazas). No están exentas tampoco de amenazas contra la seguridad de los datos, amenazas a través de la cadena de suministro, como por ejemplo el ataque a proveedores, o amenazas a través del correo electrónico.

El complejo panorama de los ciberriesgos toma, así, formas concretas en el sector turístico. La guía “Ciberseguridad en el sector turismo y ocio”, elaborada por el INCIBE, recoge en detalle las principales amenazas cibernéticas a que se enfrenta esta industria. Una de las principales viene de la mano de la ingeniera social, con el email como una de las vías de entrada más usadas por los ciberdelincuentes. De acuerdo con el INCIBE, la suplantación de identidad por correo electrónico (haciéndose pasar por soporte técnico, un empleado requiriendo información de recursos humanos o un directivo, por ejemplo) es una forma habitual de introducir spam, difundir malware o llevar a cabo ataques de phishing para sustraer información delicada.

Uno de los fraudes con mayor impacto potencial financiero en el sector turístico es el llamado fraude del CEO. En él, con el objetivo es transferir fondos de la empresa a una cuenta difícil de rastrear, el ciberdelincuente se hace pasar por un alto directivo para engañar a un empleado con capacidad para hacer movimientos bancarios y le pide ayuda para que lleve a cabo una operación financiera de cuantía elevada, que normalmente es confidencial y urgente.

Los cibercriminales recurren incluso a la inteligencia artificial para utilizar técnicas con las que suplantar la imagen y la voz de un tercero, haciendo la simulación mucho más real y huyendo de los nuevos controles y procedimientos implementados en las empresas para evitar los fraudes por ingeniería social.

Otras amenazas vienen a través de la página web de las compañías. Como escaparate y plataforma a través de la que vender productos y servicios, la página web es un activo clave para las empresas del sector turístico y, así, también un objetivo prioritario para los ciberdelincuentes, bien buscando un beneficio económico directo, bien tratando de sustraer información confidencial con la que puedan sacar algún provecho o, simplemente, dañar la imagen y la reputación de la organización.

Según el INCIBE, los ataques a la web pueden materializarse en diferentes amenazas para las empresas turísticas, como las fugas de información confidencial (de la empresa o de los clientes, lo que puede dar lugar a sanciones económicas importantes), los ataques de denegación de servicio (DoS, por sus siglas en inglés) que bloquean la página web y la dejan inoperativa, o el llamado defacement, un tipo de ataque que busca cambiar la apariencia de la web corporativa para dañar la imagen de la organización, distribuir malware o lanzar un ataque de phishing para robar datos de los clientes.

Y como no centrarnos también en las redes sociales, que se han convertido en una herramienta fundamental para el sector del turismo ya que, a través de ellas, las empresas se relacionan de forma cercana con sus clientes y sus consumidores potenciales, ofrecen experiencias interactivas y personalizadas o promocionan productos y servicios a públicos concretos. Estas útiles redes sociales son también un blanco relativamente fácil para los ciberdelincuentes y pueden ser usadas como vía para lanzar fraudes de suplantación de identidad de clientes o proveedores, campañas de malware o ataques de phishing, entre otras cosas.

Finalmente, las redes Wifi también han de ser observadas. Ofrecer acceso a internet mediante una red inalámbrica o Wifi se ha convertido casi en una obligación para establecimientos hoteleros, restaurantes y locales de ocio. Sin embargo, las redes públicas deben contar con las medidas de seguridad adecuadas si no quieren acabar convirtiéndose en una puerta abierta para los ciberdelincuentes. Entre otras cosas, una red Wifi puede usarse para perpetrar ataques de man-in-the-middle (el ciberdelincuente se coloca entre el emisor y el receptor de la información para sustraer información), eavesdropping (captura de tráfico de red no autorizado) o de denegación de servicio.

Reducir la exposición a los ciberriesgos pasa por contar con las barreras tecnológicas adecuadas, como antivirus, certificados de seguridad, pasarelas de pago seguro o programas de gestión de contraseñas robustas, pero también por reforzar la cultura corporativa y la capacitación de los empleados para que estén atentos a comportamientos sospechosos y no cometan errores que puedan comprometer la seguridad de la empresa y de sus clientes.

En este contexto, en el que la ciberseguridad se ha convertido en una parte esencial del día a día de las empresas del sector turístico, los seguros de ciberriesgos son una herramienta de mitigación fundamental para proteger el balance y la cuenta de resultados de las empresas del sector turístico en caso de sufrir un ciberataque. Los seguros de este tipo cubren , por ejemplo, los gastos en especialistas para gestionar el incidente, el asesoramiento legal en caso de notificación por compromiso de datos personales, o los gastos de recuperación de datos, así como la pérdida del beneficio neto y los posibles costes extra derivados de una interrupción de redes y sistemas. Así mismo, gracias a las pólizas específicas contra ciberdelitos, se cubre también el perjuicio económico ocasionado al tercero como consecuencia del fallo de seguridad.

Es por esta razón que hoy las pólizas de ciberriesgos forman parte de la gestión del riesgo cibernético como un elemento clave.