Ciberseguridad en la industria hotelera

¿Qué es el delito cibernético?

Los Tejedores acaban de regresar de unas hermosas vacaciones en el sur de Francia. Durante su visita, realizaron las actividades turísticas típicas como ir de compras y cenar en los lugares más populares de la zona. Los Tejedores pensaron que irían a lo seguro y usarían su tarjeta de crédito para todas sus compras. Los Tejedores notaron varios cargos sospechosos en su tarjeta de crédito de tiendas, bares e incluso aerolíneas. ¡Poco sabían que la información de su tarjeta de crédito fue pirateada! ¡Fueron víctimas de delitos cibernéticos!

El delito cibernético es cualquier delito que implica el robo de información y datos a través de Internet, incluidas las computadoras o cualquier tecnología. Hay un par de formas en que se comete un delito cibernético. Por un lado, los ladrones cibernéticos pueden piratear una computadora o incluso una red completa para obtener información segura sobre una persona o empresa.

Para un hotel, los piratas informáticos pueden obtener información como:

• Nombres de invitados
• Direcciones
• Números de teléfono
• Fechas de nacimiento
• Números de tarjetas de crédito

Los piratas informáticos pueden utilizar esta información para cometer un robo de identidad . Una vez que la información está en las manos equivocadas, los ladrones utilizan esta información para asumir la identidad de la víctima con la intención de cometer fraude o engaño.

El ransomware es otra forma de ciberdelito. Los piratas informáticos cometen este delito enviando un correo electrónico infectado a una persona desprevenida. El correo electrónico generalmente contiene un enlace aparentemente inocente. Una vez que se abre el enlace, el ransomware se hace cargo de la computadora de una persona, lo que permite al ciber-ladrón bloquear los datos y exigir un rescate para liberar el acceso.

La forma en que esto puede ocurrir en un hotel es a través de un recibo de una reserva o incluso un correo electrónico disfrazado de confirmación o actualización del programa de fidelización. Es por eso que la mayoría de los hoteles toman medidas extremas para proteger la información de los huéspedes.

¿Qué es un plan de ciberseguridad?

La ciberseguridad es un plan para proteger información valiosa en una base de datos personal o empresarial. La mayoría de los hoteles son conscientes del riesgo de intrusión y tienen planes para proteger la información. Un buen lugar para comenzar es reunir un equipo de respuesta de empleados a quienes se les asignen tareas específicas en caso de un ciberataque.

Seleccione cuidadosamente a los empleados de varios departamentos dentro del hotel. Algunos candidatos calificados pueden incluir:

• Director Ejecutivo
• Director financiero
• administración
• Personal de seguridad
• Personal de operaciones

A continuación, implemente un plan en caso de un ataque. Delegue las tareas de la siguiente manera:

• Considere las opciones de seguridad
• Ejecute pruebas frecuentes de vulnerabilidad a los delitos cibernéticos
• Tomar decisiones sobre las opciones de ciberseguridad
• Responder a una infracción, si es necesario
• Trabajar con las autoridades locales, estatales y federales.
• Responder al público
• Diseñar un sistema para notificar a posibles víctimas

La gerencia del hotel también debe tomarse el tiempo para capacitar a los empleados sobre qué hacer para evitar el riesgo de un ataque. Todo comienza con la información de los huéspedes. Asegúrese de que los empleados mantengan la información de los huéspedes segura y fuera de la vista de un posible ladrón. Los sistemas informáticos deben tener una forma segura de retener la información de la tarjeta de crédito que no se pueda decodificar fácilmente y, sobre todo, asegurarse de que la cultura del hotel sea de seguridad para los huéspedes.

Para comprender mejor lo valioso que puede ser el sistema informático de un hotel, veamos lo que sucedió cuando se pirateó el sistema informático de Wyndham Worldwide Corporation.

FTC contra Wyndham Worldwide Corporation

Los hoteleros pueden aprender una valiosa lección sobre las violaciones de seguridad de Wyndham Worldwide. Este caso sirve como un fuerte recordatorio de la importancia de proteger los datos, capacitar al personal y actualizar constantemente la tecnología de seguridad de Internet para mantener seguros los datos del hotel y de los huéspedes.

Entre 2008 y 2010, Wyndham Worldwide fue víctima de tres ciberataques separados. Los ladrones pudieron escapar con la información de la tarjeta de crédito de la asombrosa cantidad de 619,000 invitados. Cuando la Comisión Federal de Comercio (FTC) investigó las medidas de seguridad de Wyndham, revelaron muchas prácticas riesgosas.

La FTC informó que Wyndham:

• Información almacenada de la tarjeta de crédito de los huéspedes en texto legible en lugar de texto que no se puede decodificar
• Usó contraseñas que eran fáciles de decodificar para obtener acceso a los sistemas de administración de propiedades en toda la cadena y franquicias.
• No tenían firewalls para proteger sus redes.
• Permitió a los proveedores externos acceder a su red
• No contaba con un plan de ciberseguridad para monitorear sus redes y las de sus franquiciados.

En otras palabras, Wyndham no tomó las medidas de seguridad adecuadas para proteger la información crítica para su negocio y sus huéspedes.

Posteriormente, la FTC recomendó que Wyndham Worldwide renovara su plan de seguridad para incluir estrictas prácticas de ciberseguridad. Wyndham tomó al abogado en serio e implementó un nuevo plan de seguridad más invasivo que incluía contratar especialistas en seguridad, actualizar su red y capacitar a los empleados sobre cómo evitar los riesgos de delitos cibernéticos.

Resumen de la lección

El delito cibernético es cualquier delito que implica el robo de información de Internet, incluidas las computadoras o cualquier tecnología, y se realiza de varias formas. Puede producirse una infracción directa cuando los ladrones piratean una red donde se almacenan los datos de los huéspedes, como los números de tarjetas de crédito.

Enviar correos electrónicos a invitados que contienen ransomware es otra forma en que los ladrones obtienen acceso a información crítica. Una vez que un destinatario desprevenido abre el correo electrónico o un archivo adjunto, está abriendo las puertas para que los ladrones recuperen datos de su computadora. Los ladrones también pueden usar cualquiera de los datos robados y realizar el robo de identidad utilizando el nombre de la víctima y otra información para abrir cuentas bancarias, asegurar tarjetas de crédito o solicitar préstamos.

Los hoteles están tomando medidas contra el ciberdelito. El primer paso es formar un equipo de respuesta y asignar tareas para desarrollar y mantener un entorno en línea seguro. Los miembros deben incluir al director financiero, director ejecutivo, personal de seguridad y otros en los puestos principales para supervisar e implementar un plan. Luego, capacite a los empleados sobre cómo reconocer e informar cualquier actividad sospechosa. La cultura hotelera debe basarse en la seguridad de los huéspedes y de la entidad hotelera.

Al analizar la brecha de seguridad que experimentó Wyndham Worldwide, descubrimos que adoptar un enfoque indiferente a la seguridad es un negocio arriesgado. Wyndham Worldwide no tomó medidas para proteger los datos de los huéspedes y los hoteles de varias maneras. Carecían de cortafuegos para proteger la información. El personal no recibió la capacitación adecuada y los datos críticos quedaron vulnerables en su base de datos. Con la orientación de la FTC, Wyndham pudo renovar sus políticas de seguridad, contratar expertos en seguridad y capacitar al personal para reconocer los riesgos y reportar información de inmediato.

Rodrigo Ricardo Editor y fundador