Un hacker inutiliza las llaves electrónicas de las habitaciones y “secuestra” un hotel. Una gran cadena sufre el robo de los datos personales de más de 500 millones de clientes. Un ciberdelincuente se hace pasar por el CEO de una empresa hotelera para estafar a la organización. Estos son solo tres casos reales de los muchos ciberataques sufridos por la industria del turismo recogidos por el Eurecat Centro Tecnológico de Cataluña, pero sirven para ilustrar la complejidad y el impacto de los ciberriesgos a los que se enfrenta el sector.
El sector turístico está formado por tipos de empresas muy diferentes, que van desde alojamientos y restaurantes hasta operadores o compañías de alquiler de vehículos. Todos ellos son negocios cada vez más conectados y digitales, que dependen de tecnologías en la nube (como plataformas de gestión de clientes o pasarelas de comercio y pago electrónico), internet de las cosas o herramientas de análisis de datos. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), en función del nivel de madurez digital y de dependencia tecnológica también varía el nivel de riesgo cibernético al que tienen que hacer frente las empresas del sector turístico.
Según la oficina de ciberseguridad de la Unión Europea, el turismo, al igual que otros muchos sectores esenciales de la economía, es objeto de un número cada vez mayor de ataques y amenazas. Según su último informe, los principales ataques registrados son:
En este sentido, la Unión Europea vuelve a poner el foco en la importancia de la protección de las redes y sistemas, así como del tratamiento de la información y los datos, con la aprobación, el pasado 28 de diciembre, de la nueva directiva NIS-2. Esta es una evolución de la anterior directiva NIS (del inglés network and information systems) que amplía su ámbito de aplicación a servicios esenciales y pone el foco principalmente en que las organizaciones trabajen en una línea de defensa que garantice la capacidad de recuperación ante un fallo de seguridad, así como un marco de control en toda la cadena de suministro (proveedores y subcontratistas) con mayor exigencia en la calidad y cumplimiento vinculado a los controles y procesos de los servicios contratados.
El complejo panorama de los ciberriesgos toma formas concretas en el sector turístico. La guía Ciberseguridad en el sector turismo y ocio, elaborada por el INCIBE, recoge en detalle las principales amenazas cibernéticas que enfrenta esta industria. Estos son algunos de los ejemplos más paradigmáticos.
De la mano de la ingeniera social, el email es una de las vías de entrada más usadas por los ciberdelincuentes. De acuerdo con el INCIBE, la suplantación de identidad por correo electrónico (haciéndose pasar por soporte técnico, un empleado requiriendo información de recursos humanos o un directivo, por ejemplo) es una forma habitual de introducir spam, difundir malware o llevar a cabo ataques de phishing para sustraer información delicada.
Uno de los fraudes con mayor impacto potencial financiero en el sector turístico es el llamado fraude del CEO. En él, el ciberdelincuente se hace pasar por un alto directivo para engañar a un empleado con capacidad para hacer movimientos bancarios y le pide ayuda para que lleve a cabo una operación financiera de cuantía elevada, que normalmente es confidencial y urgente. El objetivo es transferir fondos de la empresa a una cuenta difícil de rastrear.
Hoy, los cibercriminales recurren incluso a la inteligencia artificial para utilizar técnicas de deep fake con las que suplantar la imagen y la voz de un tercero, haciendo la suplantación mucho más real y huyendo de los nuevos controles y procedimientos implementados en las empresas para evitar los fraudes por ingeniería social.
La página web suele ser un activo muy importante para las empresas del sector turístico, ya que es un escaparate y una plataforma a través de la que vender productos y servicios. Por ello son también un objetivo prioritario de los ciberdelincuentes, que buscan tanto un beneficio económico directo como la sustracción de información confidencial o, simplemente, dañar la imagen y la reputación de la organización.
Según el INCIBE, los ataques a la web pueden materializarse en diferentes amenazas para las empresas turísticas, como las fugas de información confidencial (de la empresa o de los clientes, lo que puede dar lugar a sanciones económicas importantes), los ataques de denegación de servicio (DoS, por sus siglas en inglés) que bloquean la página web y la dejan inoperativa, o el llamado defacement, un tipo de ataque que busca cambiar la apariencia de la web corporativa para dañar la imagen de la organización, distribuir malware o lanzar un ataque de phishing para robar datos de los clientes.
Las redes sociales se han convertido en una herramienta clave para el sector del turismo. A través de ellas, las empresas se relacionan de forma cercana con sus clientes y sus consumidores potenciales, ofrecen experiencias interactivas y personalizadas o promocionan productos y servicios a públicos concretos. Pero las redes son también un blanco fácil para los ciberdelincuentes y pueden ser usadas como vía para lanzar fraudes de suplantación de identidad de clientes o proveedores, campañas de malware o ataques de phishing, entre otras cosas.
Ofrecer acceso a internet mediante una red inalámbrica o Wifi se ha convertido casi en una obligación para establecimientos hoteleros, restaurantes y locales de ocio. Sin embargo, las redes públicas deben contar con las medidas de seguridad adecuadas si no quieren acabar convirtiéndose en una puerta abierta para los ciberdelincuentes. Entre otras cosas, una red Wifi puede usarse para perpetrar ataques de man-in-the-middle (el ciberdelincuente se coloca entre el emisor y el receptor de la información para sustraer información), eavesdropping (captura de tráfico de red no autorizado) o de denegación de servicio.
La ciberseguridad se ha convertido en una parte esencial del día a día de las empresas del sector turístico. Reducir la exposición a los ciberriesgos pasa por contar con las barreras tecnológicas adecuadas (como los antivirus, los certificados de seguridad, las pasarelas de pago seguro o los programas de gestión de contraseñas robustas), pero también por reforzar la cultura corporativa y la capacitación de los empleados para que estén atentos a comportamientos sospechosos y no cometan errores que puedan comprometer la seguridad de la empresa y de sus clientes.
En este sentido, los seguros de ciberriesgos son una herramienta de mitigación fundamental para proteger el balance y la cuenta de resultados de las empresas del sector turístico. Al cubrir los daños propios derivados de un ciberataque: gastos de especialistas para gestionar el incidente; asesoramiento legal en caso de notificación por compromiso de datos personales, gastos de recuperación de datos, así como la pérdida del beneficio neto y los extracostes derivados de una interrupción de redes y sistemas. Así mismo, se cubre también el perjuicio económico ocasionado al tercero como consecuencia del fallo de seguridad.
Es por esta razón que hoy las pólizas de ciberriesgos forman parte de la gestión del riesgo cibernético como un elemento clave.
