¿Cómo proteger tu hotel? 11 recomendaciones para aplicar en tu establecimiento

Las filtraciones de datos de cadenas hoteleras, OTAs o plataformas de reservas son habituales en el ámbito de la ciberseguridad y están sacudiendo a todo el sector hotelero y turístico. Todos los hoteles se ven afectados por esta amenaza y pueden ser objeto de un ataque, incluso los pequeños hoteles independientes. La razón es que los datos gestionados por los hoteles son datos confidenciales que no siempre están bien protegidos (datos bancarios, documentos de identidad, datos personales, contactos, etc.), siendo la primera vulnerabilidad el personal del hotel, que no siempre está bien formado para protegerse de los ataques más sencillos. 

En este artículo:

➤ ¿Cuáles son las principales amenazas y los métodos utilizados?

➤ ¿Cuáles son los elementos básicos para proteger tu entorno y tus datos? 

➤ ¿Cómo formar a tus equipos sobre los ciberataques?

➤ ¿Qué debes hacer si eres víctima?

‍

En primer lugar, algunas cifras clave:

• Se tarda una media de 277 días en identificar y contener una violación de la ciberseguridad - IBM
• La industria hotelera es el tercer sector con más ciberataques -  HRIMag
• El 72% de las empresas afectadas por ataques de ransomware tienen menos de 100 empleados-  HRIMag
• El 95% de las violaciones de la ciberseguridad se deben a errores humanos -  World Economic Forum

Los ciberataques más comunes

Criptominería / Cryptojacking

Los hackers se apoderan del ordenador para minar criptomonedas en secreto. La criptominería puede ser muy agresiva e inutilizar el ordenador durante largos periodos.

Botnet

Una Botnet es una red de dispositivos informáticos infectados con software malicioso, controlados remotamente por un operador. Los hackers se apoderan de estos dispositivos para hacerles realizar tareas maliciosas y acceder al sistema.

Ransomware

Se trata de mantener los datos como rehenes a cambio de un rescate. El cryptolocker / cryptoverlocker "bloquea" la ubicación de los datos. Sucumbir al chantaje pagando el rescate nunca es una buena idea, ya que los hackers saben cómo criptobloquear pero no necesariamente cómo borrar correctamente su paso.

Phishing

El phishing es una técnica de tentación por correo electrónico, SMS u otro tipo de mensaje, generalmente con un enlace o archivo adjunto trampa. El "fraude al director" es un ejemplo de phishing, que utiliza la influencia y la urgencia de una solicitud del director para incitar al destinatario a hacer clic en el enlace enviado lo antes posible, haciéndose pasar por su jefe. Después, se pide al atacado que facilite información personal(tarjeta bancaria, tarjeta sanitaria, datos de acceso, correos electrónicos, etc.).

Malware

El malware es software malicioso diseñado para infectar, dañar o poner en peligro un sistema informático sin el consentimiento del usuario, y puede incluir virus, troyanos, ransomware, etc.

Los mitos que deben olvidarse imperativamente

❌ Debes cambiar tu contraseña con regularidad.

Al hacer esto, se llega a crear un patrón fácil para recordar la contraseña. No es necesario cambiar regularmente la contraseña, sino utilizar una contraseña segura.

❌ Utilizar la misma contraseña (aunque sea complicada) en varias cuentas.

Un hacker que se haga con una contraseña intentará utilizarla en todas las cuentas y, por tanto, tendrá el control de todos los accesos.

❌ Un hacker intenta adivinar contraseñas

Los hackers utilizan robots para descifrar las contraseñas, con lo que pueden recuperar datos personales (fechas de nacimiento, código postal, nombre del hotel + año, etc.). Incluso establecen varias decenas de regímenes para probar regularmente los sistemas que quieren atacar.

❌ Una infección es visible

No siempre se es consciente de que se ha tomado el control de los datos, y al hacker le interesa no hacerlo visible para ganar más tiempo. Un estudio de IBM ha demostrado queun establecimiento detecta una intrusión en su red en 277 días de medialo que da a los piratas informáticos tiempo de sobra para recuperar todo lo que necesitan. ¡Y eso es sólo una media! El caso del hackeo de Marriott anunciado a finales de 2018 puso de relieve que el ataque se había cometido cuatro años antes sin ser detectado; habría afectado a 5,2 millones de clientes.

❌ Los pequeños establecimientos no son su objetivo

Una encuesta de HRIMag reveló que el 72% de las empresas afectadas por ataques de ransomware tienen menos de 100 empleados. Así que no son las empresas más grandes las más afectadas. Y, sobre todo, los ataques están en constante movimiento, a la espera de morder en algún lugar.

❌ El establecimiento no es responsable

En general, las responsabilidades son compartidas, pero el establecimiento está obligado a formar a sus empleados en materia de seguridad. También es responsable de la seguridad de sus clientes, y más aún de sus datos personales.

❌ No es necesaria la doble autenticación.

La doble autenticación es el paso adicional después de introducir los identificadores para garantizar la identidad del usuario. La utilizan, por ejemplo, todos los bancos para los pagos en línea. Adopta la forma de un código enviado por correo electrónico o SMS. Esto hace exponencialmente más difícil tomar el control de la cuenta.

❌ Basta con tener un antivirus o no abrir los adjuntos de los correos electrónicos.

Se necesitan multitud de medios para asegurar los sistemas y, al igual que en una casa, no existe la seguridad inviolable. Además de las herramientas necesarias para estar en seguridad, también hay que utilizar el sentido común y educar a los equipos para que desconfíen a diario de los correos electrónicos y mensajes, porque el error humano suele ser el punto débil(responsable del 95% de las violaciones de ciberseguridad).

‍

Recomendaciones básicas para tu hotel

1. Una contraseña por programa

Si los datos de un sitio o software se ven comprometidos, el pirata informático tiene acceso a todas las cuentas que utilicen la misma contraseña . Por eso es una buena idea establecer una contraseña diferente para cada software, utilizando un gestor de contraseñas. 

2. Utilizar una herramienta de gestión de contraseñas

Un gestor de contraseñas permite gestionar y generar contraseñas complicadas e introducirlas automáticamente en la página de inicio de sesión sin que sean directamente legible . 

Los usuarios sólo tienen que recordar una contraseña  para desbloquear su gestor, y no conocen ninguna otra, ya que la conexión a los sistemas registrados es automática. Este software también facilita compartir identificadores con otro miembro del equipo  sin que esa persona sepa las contraseñas. 

Estos son algunos ejemplos de los softwares que permiten a los equipos gestionar contraseñas: Dashlane, 1Password, LastPass, Bitwarden, RoboForm, KeePass...

3. Un login por empleado

En un hotel, algunos programas o sistemas no siempre permiten crear varios inicios de sesión para cada miembro del personal. Y, sobre todo, no todo el personal tiene siempre una dirección personal (y comparten direcciones de correo electrónico genéricas contact@, info@, recepción@, etc.). 

Sin embargo, siempre que sea posible, crea tantos accesos como empleados haya. Esto no sólo te dará un mayor control sobre la seguridad, sino que también facilitará la supresión del acceso cuando un empleado se marche: todo lo que tienes que hacer es eliminar el acceso. 

4. Instalación de una VPN en los portátiles del equipo

Una VPN es una red privada virtual que establece una relación punto a punto entre un equipo y un sitio remoto, algo así como un túnel seguro entre el servidor de red y el ordenador. La información intercambiada está cifrada. La VPN puede utilizarse, por tanto, para proteger un ordenador portátil en una red wi-fi pública o no segura.

5. Dar preferencia a los programas con autenticación multifactor

Los programas que gestionan datos personales (de clientes o empleados) deben ofrecer autenticación multifactor para proteger el acceso.  La autentificación de dos/doble factores (2FA) es un proceso de verificación en dos pasos y el más utilizado. Los métodos más conocidos son: un código único enviado por SMS, una aplicación de autenticación, el reconocimiento facial o dactilar, una clave de seguridad, etc.

6. Gestionar el acceso a las herramientas y ordenarlas periódicamente

Los derechos de administrador de los programas no deben otorgarse a todos los empleados si no los utilizan, ya que se trata del estatus más alto para modificar elementos(derechos de modificación de la configuración o de eliminación completa).

Dar diferentes accesos a los distintos empleados facilita su clasificación en cuanto un empleado abandona el establecimiento , sin tener que restablecer la contraseña. Basta con eliminar los accesos de la cuenta. 

También puede ser una buena idea crear otra cuenta para la misma persona (con derechos de administrador), con menos derechos, para las tareas cotidianas que no requieran acceso total.

7. Proteger la red Wi-Fi

No utilices nunca una box de Internet personal para tu establecimiento, ya que no ofrece un nivel de seguridad suficiente (y de hecho no existe), ni para tu propia seguridad ni para la de tus clientes. Todos los usuarios son fácilmente accesibles por cualquiera que se conecte a él, incluidos los puestos de trabajo internos. Recurre siempre a proveedores de redes wi-fi para configurar una red segura que permita separar los dispositivos conectados. Recuerda que tampoco debes conectar impresoras a la red del cliente.

8. Identifica claramente tu red wi-fi

Informa a tus huéspedes del nombre de tu red wi-fi y de cómo conectarse a ella. Las redes maliciosas pueden nombrarse con el nombre del hotel para que los huéspedes desatentos puedan conectarse a ellas.

No olvides comprobar regularmente las redes wi-fi de los alrededores del hotel para detectar las que han usurpado el nombre del hotel(Nombredelhotel_GUEST, WIFI_NOMBREDELHOTEL, etc.).

9. Formación periódica en ciberseguridad

Incluir la ciberseguridad en la formación de los equipos es esencial. El mayor punto débil es el error humano, por lo que la concienciación es esencial para minimizar los riesgos y educar a los empleados para que estén atentos en el día a día. Es precisamente en las tareas más cotidianas, donde la atención se relaja, donde se producen los ataques.

Los recordatorios periódicos (por ejemplo, de los métodos de ataque o de cómo detectar los intentos) ayudan a mantener la atención. También puede ser útil impartir formación sobre la detección de alertas y el procedimiento a seguir en caso de sospecha. El primer paso podría ser elaborar documentación para impartir formación sobre técnicas básicas de ciberseguridad.

10. Adoptar buenos hábitos

Es importante adoptar buenos hábitos y hacer que la ciberseguridad forme parte de tu rutina diaria: bloquea siempre tu puesto de trabajo en cuanto lo abandones, desconéctate de las herramientas, implanta programas de gestión de contraseñas en tus equipos, llamar la atención a los empleados que no estén prestando atención, mantente al día de las amenazas e intentos de intrusión, está al tanto de las noticias del sector, etc.

Una forma de mantener a los empleados alerta es utilizar servicios para poner a prueba a los empleados con falsos correos electrónicos de phishing (inofensivos) que simulan intentos de ataques tan elaborados como los que llevan a cabo los hackers. Se advierte suavemente a los empleados atacasos y se les recuerda que mantengan su desconfianza en todo momento.

11. Nunca conectes nada a un ordenador del establecimiento

Niégate cuando un huésped pida poder cargar su teléfono en el ordenador de recepción o entregue una llave USB para imprimir un documento. Los ordenadores del hotel deben estar protegidos. Cuidado también con las impresoras conectadas a la red wi-fi del hotel. Si necesitas imprimir algo de un huésped, pídele que te lo envíe por correo electrónico y abre sólo los pdf.

¿Cómo elegir y qué preguntas hacer a los proveedores de servicios tecnológicos?

Rodearte de soluciones profesionales que cumplan con el RGPD para proteger los datos personales que pasan por tus herramientas es esencial. Eres responsable de equiparte con soluciones que cumplan la normativa vigente. 

He aquí algunas preguntas esenciales que debes hacer a tus proveedores de tecnología antes de asociarte con ellos: 

• ¿Dónde se encuentran alojados los datos? ¿Qué tipo de datos se localizan?  El RGPD exige saber qué datos se encuentran dónde para poder actuar sobre ellos.
• ¿Soy propietario de los datos? Statut de Data Processor (el proveedor) frente al Data Controler (el hotel)
• ¿Hay doble seguridad para conectarse? 
• ¿Cómo se gestionan los identificadores compartidos? 
• ¿Existe un sistema de derechos de administrador? No todos los empleados tienen que poder hacerlo todo: Cuenta de Usuario versus Cuenta de Administrador
• ¿Dispones de un documento que describa tu política de seguridad? ¿Qué ocurre en caso de emergencia? ¿Dispones de una línea directa o de una sala de chat? ¿Puedo bloquear mi cuenta?

‍

Si deseas ver un vídeo sobre la ciberseguridad en el sector hotelero, echa un vistazo a nuestro último seminario web sobre el tema (en francés): 

Los ponentes:

• Guilain Denisselle, redactor jefe de la revista Tendance Hôtellerie
• Lionel Tressens, cofundador y director técnico de LoungeUp
• Jean-Christophe Behar, Director General de IPEFIX
• Bruno Lanvin, Director de Formación y Educación de Clientes de LoungeUp