www.nexotur.com

TRIBUNA DE OPINIÓN / MARC LALIBERTE

Los ciberataques ponen su foco en la industria hotelera

domingo 30 de septiembre de 2018, 07:00h
Marc Laliberte es senior Security Researcher de WatchGuard.
Ampliar
Marc Laliberte es senior Security Researcher de WatchGuard.
El año 2017 se saldó con más de 53.000 incidentes de seguridad confirmados y se comunicaron oficialmente más de 2.200 brechas de datos, dirigidas principalmente a la industria hotelera, según un informe de Verizon. El año pasado, Hyatt anunciaba que 41 de sus hoteles sufrieron un ataque con el que se robó una cantidad desconocida de información de tarjetas de crédito de clientes.
Más recientemente, una brecha en Orbitz afectó a datos de 880.000 tarjetas de pago de clientes. La industria de hotelera es un objetivo tentador para los hackers que buscan robar datos de tarjetas de crédito. ¿Por qué? Estas organizaciones cuentan con una gran superficie de ataque fácilmente explotable que incluye desde conexiones wifi para clientes, a sistemas punto de venta (POS) con poca o ninguna seguridad, y trabajan con un nutrido grupo de proveedores externos con acceso a la red.

Recalcar la importancia de la seguridad y privacidad de la información para este sector, poniendo el acento en los riesgos y, especialmente, en las buenas prácticas para la protección de compañías hoteleras, es el objetivo a tratar.
La conexión wifi gratuita de los hoteles es un objetivo tentador

Los datos de las tarjetas de crédito son muy valiosos por razones obvias, y llevan a los ciberdelincuentes a atacar los sistemas POS, instalando malware una vez que han obtenido acceso a la red de un hotel o restaurante. A menudo, se emplean correos electrónicos de phishing, accesos de terceros que están comprometidos o una red wifi insegura. Este malware se ejecuta de forma silenciosa en segundo plano durante meses o años, copiando los datos de las tarjetas de crédito que pasan por el POS y devolviendo esa información al hacker. La mayoría de estos sistemas no tienen ninguna seguridad incorporada, por lo que proteger la red a la que están conectados es extremadamente importante. Para blindar estos y otros sistemas dentro de la organización, la red debería estar segmentada para que los hackers tengan más complicado introducir malware en un sistema POS.

La conexión wifi gratuita de los hoteles también es un objetivo tentador y hay muchas formas de explotarla para extraer información de los huéspedes o llegar a otras partes de la red del hotel. Aquí, la segmentación adecuada de la red y los sistemas de prevención de intrusiones inalámbricas juegan un papel clave, en tanto que permiten detectar y bloquear intentos de piratería. La wifi para clientes debe separarse de la red comercial y de negocio, pues si un hacker accede a la primera, no podrá profundizar más para robar otros datos privados.

Otro factor de riesgo en la industria hotelera son el gran número de proveedores externos, con que trabaja: empresas de distribución, servicios de limpieza, proveedores de suministros… Estos a menudo tienen acceso a la red del hotel y pueden abrir a los hackers una puerta trasera al sistema. Las empresas hoteleras deberían limitar el acceso a la información que comparten con partners y proveedores.

La seguridad de las contraseñas y las contraseñas débiles se han convertido en un problema de seguridad importante para cualquier sector, incluido el hotelero. En el caso de la brecha de datos en Orbitz lo que ocurrió fue que la contraseña de un administrador fue interceptada. Contar con protocolos de buenas prácticas para tener contraseñas más fuertes podría haber marcado la diferencia en este ataque. Muchas infracciones ocurren porque los empleados reutilizan las contraseñas para varias cuentas, y basta con tener solo una cuenta comprometida para que una brecha de datos tenga éxito.
Otro factor de riesgo en la industria hotelera es el gran número de proveedores externos

La buena noticia es que el malware sigue tendencias que pueden medirse y contra las que es posible anticiparse para defenderse. Por ejemplo, los ciberdelincuentes aprovechan documentos maliciosos de Office para engañar a las víctimas, lo que significa que ocultan cada vez más código malicioso en los documentos de Office. A menudo, el malware se entrega mediante un correo electrónico de phishing, que es un mensaje falso diseñado para que el destinatario acceda a un enlace o abra un documento. Si lo hace, el documento malicioso descargará e instalará malware de forma secreta en el dispositivo. Formar a los empleados de nuestro hotel o restaurante que tengan cuentas de email profesionales para que puedan identificar y no abrir estos posibles mensajes que no esperan o no reconozcan; sería un buen intento para combatir los ataques de hacking.

Los ataques de malware, en general, crecieron significativamente. Se detectaron un 33% más de este tipo de ciberataques en el cuarto trimestre de 2017 con respecto al período anterior, lo que puede atribuirse a una mayor actividad delictiva durante la temporada de vacaciones. Al igual que las ventas y la publicidad, el malware es estacional. Las empresas deben asegurarse de que sus empleados estén capacitados para reconocer correos electrónicos de phishing y revisar sus protocolos de seguridad, antes de la temporada vacacional para estar así preparados para estos picos.

Asimismo, se ha detectado que casi la mitad de todo el malware eludió las soluciones antivirus básicas. Este crecimiento indica que los criminales están usando técnicas de evasión más sofisticadas, capaces de deslizar ataques más allá de los servicios que prestan las soluciones tradicionales.

Por otro lado, los ataques de scripting representaron el 48% del malware en el último trimestre del año pasado. Este tipo de amenazas, generalmente, están incorporadas en una página web o archivo adjunto de correo electrónico y, como en el caso anterior, se debe ser extremadamente cuidadoso y nunca pinchar en un link o abrir un documento adjunto de una dirección de email desconocida, aunque tampoco hay que olvidar los sofisticados emails que suplantan la identidad de un miembro de la propia organización. Si algo parece sospechoso, lo importante es confirmarlo fuera de línea o escribir manualmente el enlace en el navegador, en lugar de hacer clic automáticamente.

Tanta información puede resultar abrumadora, pero unas buenas prácticas básicas de seguridad marcan una gran diferencia cuando se trata de defender el negocio de los ciberataques. Bastan pasos sencillos para que las organizaciones hoteleras de todos los tamaños puedan reducir la probabilidad de sufrir una brecha de seguridad.

La dirección de las empresas debe entrenar y concienciar a los empleados para que permanezcan atentos y vigilantes cuando utilizan el correo electrónico corporativo, pues es un importante vector de infección. Por último, mantenerse al tanto de las campañas de malware de temporada y contar con soluciones de red que aporten antivirus con capacidades de detección basadas en el comportamiento, también resulta de gran ayuda.

Recordar estos consejos ayudará a que tu hotel no se convierta en parte de las estadísticas de las brechas de datos en 2018.