LA CIBERSEGURIDAD EN LA INDUSTRIA HOTELERA
CÓMO ESTAR PREPARADO ANTE CUALQUIER AMENAZA
O P E N D A T A S E C U R I T Y . I O / E S /
O P E N D A T A S E C U R I T Y . I O / E S /
ÍNDICE
3Cómo afecta la
ciberseguridad a la
industria hotelera
4 Identificación de
amenazas
9 Identificación de
riesgos
13Cómo respondemos
ante un incidente de
ciberseguridad
15 Qué podemos hacer
por su empresa
OPENDATASECURITY.IO/ES/
CÓMO AFECTA LA CIBERSEGURIDAD
A LA INDUSTRIA HOTELERA
3
1
Los avances tecnológicos exigen una
mayor conectividad en los hoteles
con el objetivo de ofrecer un servicio
eficiente y personalizado para cada
cliente.
Esto ha incrementado el riesgo de
que los hackers intenten atacar los
sistemas y redes de los hoteles para
así obtener datos críticos.
Las consecuencias de no protegerse
ante este tipo de ataques pueden
paralizar la actividad de un hotel de
forma indefinida.
Los motivos por los que que la
industria hotelera es especialmente
vulnerable a ataques se encuentran
en las siguientes características:
Los hoteles son establecimientos con
ingresos muy altos, algo que atrae a
los cibercriminales.
Están equipados de sistemas de
comunicación fáciles de hackear y no
actualizados como redes wifi.
Manejan una gran cantidad de
información crítica: datos personales
de clientes, cuentas bancarias,
preferencias en las reservas, etc.
Se trabaja con sistemas vulnerables
como los portales de reservas online.
A través del personal del hotel se
puede obtener datos críticos
utilizando ingeniería social.
La gestión de reservas por emails
convierten a los hoteles en objetivo
de campañas phishing como método
efectivo para el robo de información.
4
El propósito de este documento es
ofrecer información a los hoteles y
cadenas hoteleras para identificar los
principales riesgos a los que se
enfrenta la industria. Para ello,
veremos cómo llevar a cabo los
procedimientos y protocolos
adecuados para proteger los sistemas
y minimizar así las probabilidades de
ser víctima de un ciberataque.
Open Data Security es una empresa
cercana y fiable que ofrece servicios
de auditoría y consultoría en
seguridad informática para todo tipo
de empresas, particularmente,
hoteles.
2IDENTIFICACIÓN DE AMENAZAS
España es el tercer país del mundo que más ciberataques recibe
OPENDATASECURITY.IO/ES/
Al contrario que en otros campos de
la seguridad, la ciberseguridad para
hoteles representa un reto por los
grandes cambios que supone: la
profunda transformación de las
infraestructuras para mejorar la
experiencia del cliente.
Las motivaciones para aprovechar las
vulnerabilidades de los hoteles son
variadas y pueden provenir de
distintos grupos e individuos. La
siguiente tabla ofrece una muestra
de cuáles son esas motivaciones, así
como sus respectivas amenazas:
5
GRUPOS MOTIVACIÓN OBJETIVO
Activistas
Criminales
Oportunistas
Países
Terroristas
Afectar a la reputación
del hotel
Interrumpir sus
operaciones
Destruir datos
Publicar información sensible
Obtener atención de medios
Impedir el acceso al servicio o
sistema
Beneficio económico
Espionaje comercial
Espionaje industrial
Vender los datos robados
Vender los sistemas de
operaciones
Realizar reservas con fines
fraudulentos
Recopilar información para el
crimen organizado: datos y
localización exacta de los
huéspedes,transacciones del
hotel, etc
Ser capaces de sobrepasar los
sistemas de seguridad
Beneficio económico
Copiar know-how
Interferir en la economía e
infraestructura nacional
Causar daño físico y
económico
Desafío personal
Rédito político
Espionaje
Presión para conseguir
sus reivindicaciones
TIPOS DE ATACANTES
OPENDATASECURITY.IO/ES/
Clasificamos los ciberataques
en función de si el objetivo es
aleatorio o si están dirigidos a
alguien o algo en concreto:
6
CIBERATAQUES
Software dañino, diseñado para
acceder o dañar los sistemas de
una empresa sin permiso del
administrador. Existen múltiples
tipos de malware como pueden
ser: troyanos, ransomware,
spyware, etc.
Esta técnica utiliza a las personas
para romper los procedimientos de
seguridad, la mayoría de las veces
(aunque no exclusivamente) a
través de correos electrónicos.
Se trata de un ataque de ingeniería
social que se caracteriza por
intentar adquirir información
suplantando una identidad. La
técnica más empleada consiste en
el envío de un correo electrónico
que incluye un enlace
fraudulento, llevando al usuario a
una web suplantada.
Este ataque prueba con un número
muy elevado de contraseñas con el
objetivo de adivinar la correcta.
Provoca que un recurso sea
inaccesible a usuarios legítimos
mediante el consumo del ancho de
banda de la red de la víctima,
haciendo que el servidor se
sobrecargue y no pueda seguir
prestando el servicio.
Introduce mejoras con respecto a
un ataque de phishing común. Se
centra en el usuario concreto a ser
atacado, empleando compañías
cercanas, gustos e incluso
suplantando familiares como
gancho.
Atacar un hotel comprometiendo los
equipamientos, programas
informáticos o servicios contratados
por dichos hoteles.
ATAQUES SIN UN OBJETIVO ESPECÍFICO
ATAQUES CON UN OBJETIVO ESPECÍFICO
Malware
Ingeniería Social
Phishing
Fuerza bruta
Denegación de servicio (DDoS)
Phishing personalizado
Ataques a la cadena de suministro
OPENDATASECURITY.IO/ES/
FASES DE UN CIBERATAQUE
7
Se trata de un estudio previo. Los
atacantes utilizarán fuentes públicas
para conseguir toda la información
disponible acerca de la víctima.
Información en redes sociales, foros
técnicos y propiedades ocultas en
páginas webs pueden ser utilizadas
para identificar brechas y
vulnerabilidades.
La brecha producida dependerá de la
gravedad de la vulnerabilidad y el
ataque elegido. En función de la
brecha, el atacante podrá ser capaz
de:
1. FASE DE RECONOCIMIENTO
2. ATAQUE
Los atacantes intentarán acceder a
los datos y sistemas de la compañía y
el hotel. Esto puede llevarse a cabo
desde el propio hotel o en remoto a
través de internet.
3. BRECHA
Hacer cambios que afecten a los
sistemas, como interrumpir o
manipular los accesos a las
habitaciones.
Acceder a datos confidenciales
como los datos bancarios de los
huéspedes o listas de clientes.
Conseguir acceso total al sistema,
por ejemplo al servicio de
reservas.
4. EFECTO
La motivación y objetivos del
atacante determinarán el efecto que
tiene el ataque sobre la actividad del
hotel.
OPENDATASECURITY.IO/ES/
8
Es de vital importancia que los
técnicos de sistemas de los hoteles
sean conscientes de los riesgos de
un ciberataque y estén
adecuadamente entrenados para
identificar y mitigar dichos riesgos.
1. Robo de información
confidencial de clientes o del
personal (ransomware¹): se
trata de un bien muy preciado
en el mercado negro (Deep
Web) que es monetizado hasta
la mínima expresión.
¹ Ransomware: Software
dañino que encripta el acceso a
determinadas partes o archivos
del sistema y
pide un rescate para
desencriptarlos.
3. Ataques que afectan a la
calidad del servicio: degradan
la experiencia de usuario.
4. Pérdida de confianza de los
clientes, el daño a la reputación
y a la marca de la organización,
pérdidas económicas y riesgos
legales.
EFECTOS REALES DE CIBERATAQUES
2. Ataques que provocan la
disrupción del negocio: no
permiten a las compañías
prestar los servicios.
OPENDATASECURITY.IO/ES/
IDENTIFICACIÓN DE RIESGOS
3
9
Es fundamental que los hoteles
evalúen e identifiquen los
potenciales riesgos a los que se
pueden enfrentar.
Además, deberán evaluar los
sistemas y procedimientos
empleados para clasificar el nivel de
las amenazas. Esta auditoría de
vulnerabilidades deberá ser llevada a
cabo por expertos en seguridad
informática con conocimientos de la
industria hotelera y sus procesos
clave para obtener una estrategia
centrada en los riesgos.
Previo a la auditoría de riesgos se
deberán identificar los sistemas
utilizados por el personal.
Los principales sistemas empleados
en el hotel son:
OPENDATASECURITY.IO/ES/
10
SISTEMAS DE RESERVAS ONLINE
Estos sistemas son
utilizados para gestionar
las reservas de los
huéspedes, pudiendo
ser vulneradas al
acceder a las
Terminales de Punto de
Venta (TPV) y robar
dinero de las tarjetas de
crédito de los clientes.
SISTEMAS DE GESTIÓN DE DATOS
El Internet of Things o
Internet de las Cosas
permite la
interconexión de
objetos a través de la
Red, recibiendo y
enviando información
al instante. Los hoteles
utilizan cada vez más
sistemas basados en
IoT, y los
cibercriminales usan
esos dispositivos para
espiar y robar.
SISTEMAS INTERCONECTADOS POR EL IOT
El incremento del uso
de sistemas digitales
para la gestión de
reservas online hace
que la protección de
datos sea de vital
importancia dentro de
un hotel.
Los sistemas de
almacenamiento de
datos en la nube son
altamente vulnerables a
ciberataques.
OPENDATASECURITY.IO/ES/
11
SISTEMAS DE CONTROL DE ACCESO
REDES DE OCIO Y ENTRETENIMIENTO
La gestión del control de acceso para
garantizar la seguridad del hotel
incluye sistemas de vigilancia,
alarmas, apertura y clausura de
puertas, llaves electrónicas, etc.
Wifi para huéspedes o sistemas de
entretenimiento como películas,
juegos, etc. Estos sistemas no
pueden estar conectados a ningún
sistema de seguridad del hotel.
EQUIPOS DE PERSONAL ADMINISTRATIVO
SISTEMAS DE COMUNICACIÓN
Estos equipos son particularmente
vulnerables cuando tienen acceso a
internet. No pueden estar conectados
a ningún sistema crítico para la
seguridad del hotel.
La disponibilidad de conexión a
internet vía wifi u otros sistemas de
comunicación incrementan la
vulnerabilidad de los hoteles.
OPENDATASECURITY.IO/ES/
12
AUDITORÍA DE RIESGOSUna vez identificados los sistemas
del hotel se deberá hacer una
evaluación interna de riesgos que
incluya:
1. Identificación y evaluación de los bienes e infraestructuras consideradas
importantes de proteger.
2. Identificación de los procesos claves del hotel que usen estos bienes e
infraestructuras.
3. Identificación de los riesgos fruto de posibles amenazas a estos bienes e
infraestructuras.
4. Identificación y evaluación de los controles de seguridad basadas en el
coste y nivel de eficiencia de estos.
Además de la evaluación de riesgos
interna, estos trabajos se deberán
complementar con empresas
externas especializadas en seguridad
informática para ahondar un poco
más e identificar los riesgos y
brechas que no se hayan descubierto
de manera interna. Es fundamental
que se lleven a cabo pen-testing a
las infraestructuras IT y OT.
Estos tests deberán ser llevados a
cabo por expertos, simulando
ataques reales, para identificar si los
niveles actuales de defensa están a
la altura de la estrategia de
ciberseguridad de la compañía.
OPENDATASECURITY.IO/ES/
13
CÓMO RESPONDEMOS ANTE UN INCIDENTE DE
CIBERSEGURIDAD
4
Es importante entender que los
incidentes de ciberseguridad no
desaparecen por sí solos, por lo que
es altamente recomendable tener un
plan elaborado para reducir las
amenazas y restaurar los sistemas
afectados. El conocimiento de
incidentes previos debe ser utilizado
para mejorar el plan de respuesta
ante nuevos incidentes.
RESPUESTA EFECTIVA El equipo encargado de esta tarea
deberá estar compuesto de una
combinación de personal técnico del
hotel y expertos externos que se
encargarán de restablecer los
sistemas del hotel para que pueda
retomar sus operaciones rutinarias.
OPENDATASECURITY.IO/ES/
14
1.Cómo ocurrió el incidente.Qué sistemas fueron afectados y cuál fue el alcance.Qué datos, comerciales y operacionales, fueron afectados.Evaluar hasta qué punto la amenaza sigue activa.
2.Siguiendo a la evaluación inicial, los sistemas deben ser desinfectados y restaurados tanto como sea posible, eliminando las amenazas del sistema y restaurando el software.
3.Para entender las causas y
consecuencias de un ciber
incidente, se deberá llevar a
cabo una investigación por
parte de la compañía con el
apoyo de una empresa externa
especializada.
La información recopilada será
fundamental para prevenir
futuros incidentes.
Los pasos para llevar a cabo la
investigación deberán ser:
EVALUACIÓN INICIAL
RECUPERAR SISTEMAS Y DATOS
INVESTIGAR EL INCIDENTE
Se investigarán qué medidas de
seguridad han resultado
insuficientes y han posibilitado
el ataque para subsanar errores.
Identificación de los errores
cometidos incluyendo las
posibles mejoras en formación
para incrementar la consciencia
del personal acerca de las
amenazas.
Un mejor entendimiento de los
potenciales riesgos a los que se
enfrenta la industria hotelera.
Actualización de las medidas de
seguridad para prevenir un
nuevo incidente.
PASOS PARA UNA RESPUESTA EFECTIVA
OPENDATASECURITY.IO/ES/
15
QUÉ PODEMOS HACER POR SU HOTEL
5
El nuevo Reglamento Europeo de
Protección de Datos obliga a todas
las empresas, a establecer ciertas
medidas de seguridad que no
comprometan la privacidad de los
ciudadanos europeos. Confíe en
Open Data Security y le ayudaremos
en el proceso de adecuación.
OPENDATASECURITY.IO/ES/
ADECUACIÓN AL RGPD
Evitar cuantiosas multas impuestas
en la normativa
Obtener una mayor protección en
los datos personales de los
clientes.
Proteger en mayor medida sus
sistemas frente a ciberataques.
Incumplir la normativa puede costar entre 20 millones de euros y el 4% del volumen de ingreso anual de la empresa , aplicándose la mayor cuantía, dependiendo de la gravedad, duración y la naturaleza de la infracción.
Con nuestra ayuda podrá:
16
AUDITORÍA DE REDES WIFI
Limitación y control de los puertos
de red, protocolos y servicios.
Configuración de dispositivos de red
tales como firewalls, routers y
switches.
Proteger y controlar los sistemas de
seguridad física.
Incorporar sistemas de detección de
intrusos.
Proteger cualquier sistema de
comunicación.
Control de acceso a las redes wifi.
Instalación de software de
detección de malware.
Configuración segura de los equipos
y su software.
Protección de gestores de correo
electrónico y navegadores web.
Implementación de funcionalidades
de backup para recuperar datos en
caso de ataque.
FORMACIÓNEn Open Data Security impartimos
programas de formación para el
personal de hotel y dirigidos a
cualquier rango y perfil.
El programa de formación para el
personal del hotel incluye:
Riesgos relativos al uso de correos
electrónicos. Reconocer un ataque
de phishing y cómo actuar ante
estas amenazas.
Riesgos relativos al uso de internet:
uso de redes sociales, foros etc.
Riesgos relativos al uso de
dispositivos personales conectados
a la red.
Políticas de uso de contraseñas y
certificados digitales seguros.
Seguridad en cuanto a la utilización
de equipos del hotel por parte de
terceras partes.
Crear conciencia acerca del
impacto de ciberataques para la
seguridad y operaciones del hotel.
OPENDATASECURITY.IO/ES/
17
PENTESTINGRecogida previa de información.
Gestión de la configuración.
Verificación de la seguridad en la
transmisión de datos.
Verificación de la correcta
aplicación de la criptografía.
Mecanismos de autenticación y
gestión de sesiones.
Validación de datos y errores que
puedan llevar a la posibilidad de
una denegación de servicio.
Open Data Security ofrece servicios
de pentesting cuyo objetivo es poner
a prueba la seguridad informática de
su infraestructura.
El procedimiento para realizar estos
tests consta de los siguientes puntos:
AUDITORÍA DE SERVIDORES
Los servidores son uno de los
elementos más importantes de un
hotel ya que aloja las aplicaciones y
servicios de este y facilita el uso
colaborativo de los datos.
Para llevar a cabo la auditoría de
servidores, seguimos los siguientes
pasos:
Según un estudio realizado en 2017 por
Deloitte, el sector turístico se ha
posicionado como una de las tres
industrias target para el cibercrimen.
Realizamos una revisión exhaustiva
de los accesos y permisos de los
usuarios que acceden al servidor.
Los elementos compartidos y las
políticas de seguridad también se
someten a escrutinio.
Llevamos a cabo un test de
intrusión a los servidores para
conocer sus fallos y
vulnerabilidades.
Con los resultados obtenidos,
configuramos la seguridad del
servidor.
OPENDATASECURITY.IO/ES/
17
CONCLUSIÓN
La transformación digital es vital para
todos los sectores, pero para la
industria hotelera este proceso aporta
una serie de grandes oportunidades
de cara a tener un mayor
conocimiento del cliente o usuario. Lo
que también supone nuevos desafíos.
A medida que los hoteles han ido
completando ese proceso han ido
empleando más sistemas conectados
a la red, mientras que los hackers
diseñan técnicas cada vez más
sofisticadas que pasan desapercibidas
para los usuarios.
Estamos viviendo un momento crucial
en lo relativo a la ciberseguridad, y la
industria hotelera no se puede
mantener al margen.
En Open Data Security tenemos un
equipo cercano y altamente
cualificado para hacer frente a este
desafío.
Contacte ya con nosotros y confíenos
la seguridad de su hotel.
OPENDATASECURITY.IO/ES/
@ODSops
Open Data Security
CONTACTO
+34 900 838 167
opendatasecurity.io/es/
Santa Cruz de Tenerife, España
ES HORA DE PROTEGER SU NEGOCIO
Top Related