La transformación digital experimentada por las empresas turísticas les ha permitido seguir siendo relevantes en el marco de una industria en crecimiento. Pero el lado B de esa innovación es que las puso en el blanco de la delincuencia informática. Por lo que la ciberseguridad es la próxima adaptación en el camino de la evolución del ecosistema de los viajes.
Ciberseguridad, un desafío vital para las empresas turísticas en la era digital
La digitalización es un mandato para las empresas, pero tiene su lado B: los delitos informáticos. La ciberseguridad es un factor clave para la supervivencia.
¿Por qué la ciberdelincuencia mira a la industria turística?
El Instituto Nacional de Ciberseguridad de España (Incibe) da en el blanco cuando afirma que, en el desarrollo de su actividad, las empresas de turismo gestionan una gran cantidad de información de los clientes, propios y de sus proveedores: datos personales y bancarios necesarios para realizar reservas, compras, suscripciones a servicios, entre otros.
Ello implica la utilización de un conjunto de soluciones tecnológicas cada vez más amplio, con el objetivo de conseguir una mayor ventaja competitiva, más productividad y/o una mejor rentabilidad de sus procesos. Justamente, de eso se trata la transformación digital operada en los últimos años.
En su estudio titulado "Cybersecurity in travel goes beyond technology" (La ciberseguridad en los viajes va más allá de la tecnología), Robert Cole, analista senior de Phocuswright, ahonda en las características del sector que lo hacen susceptible a los piratas informáticos, entre ellas: complejas arquitecturas de sistemas; tecnologías centrales heredadas; múltiples puntos de contacto con los empleados y los clientes; escasez de personal y alta rotación de los mismos; baja sofisticación técnica; operaciones dispersas y localizadas; puntos de venta digitales y en las instalaciones; múltiples métodos de pago; y la lista continúa…
Datos: el oro del siglo XXI
Esa enorme montaña de datos, no siempre gestionada con criterios de ciberseguridad, convierte a la industria turística en un escenario perfecto para los ciberdelincuentes, que encuentran en estas tecnologías brechas digitales que aprovechar. “El robo de información y los ataques a sistemas son algunos de los principales riesgos que corre el sector turístico, pues los datos se han convertido en el nuevo oro del siglo XXI para los piratas informáticos, que ven en la venta de los mismos en el mercado negro una vía rápida para la obtención de un alto rédito económico”, señala en su ebook (“Ciberseguridad en el sector turístico”) la plataforma THINKTUR.
De ahí que a medida que el sector avanza en su digitalización, “también deba hacerlo en materia de seguridad, pues prácticamente todo el itinerario de sus clientes y su cadena de valor suponen la generación de datos”, afirma THINKTUR.
La cuestión es que el desafío no se resuelve bajando la palanca de la digitalización. De hecho, es una carrera que corre a una velocidad exponencial, en la cual las tecnologías disruptivas, como el IoT (Internet de las cosas), la inteligencia artificial, el big data, la realidad aumentada o la robótica son la piedra angular de la nueva fase de transformación, que -a su vez- proporcionan nuevas vulnerabilidades y amenazas a las ciudades y empresas inteligentes.
Ciberataques: ese enemigo silencioso, pero en auge
Los daños producidos por problemas derivados de ciberseguridad en las empresas y destinos turísticos van desde la pérdida de reputación o confianza por parte de los clientes, la interrupción de las operaciones, hasta el gasto en la renovación de sistemas de información o la apertura de procesos legales, con la consecuente pérdida económica que ello supone. En definitiva, los ataques cibernéticos pueden tener un impacto devastador.
Si bien -como veremos- ha habido un puñado de atentados contra empresas turísticas que ganaron notoriedad en los medios, lo cierto es que la mayoría permanecen ocultos, lo que dificulta la trazabilidad estadística en el sector.
Según un informe de Phocuswright los intentos de fraude digital en 2022 en el sector de los viajes crecieron un 156%. “El sector de los viajes funciona en un entorno en el que numerosos puntos potenciales de fallo hacen que la prevención y detección de violaciones de la ciberseguridad sean significativamente más difíciles en comparación con otros sectores", afirmó Robert Cole, de Phocuswright. Según el estudio, el 88% de los consejos de administración de las empresas consideran que la ciberseguridad es un riesgo para el negocio, más que un problema técnico de IT.
Frente a la falta de estudios específicos en el sector, un trabajo académico publicado en febrero pasado por Lázaro Benítez Florido, doctor en Turismo de la Universidad de Málaga, logró documentar y analizar 61 ciberataques contra empresas turísticas entre 2000 y 2023. De acuerdo con el informe, los hoteles fueron los más afectados, con 26 incidentes, seguidos de las OTA, con 10, y las aerolíneas (8).
La mayoría de los ciberataques estuvieron relacionados con la violación de datos, robo de identidad, direcciones, credenciales de acceso, números de cuentas bancarias, números de tarjetas de crédito y detalles de reservas. “Cada ataque incluido en nuestra muestra se produjo en una fecha diferente y/o afectó a diferentes OTA, hoteles y restaurantes situados en diversas zonas geográficas y ciudades. Además, estamos seguros de que la industria de viajes y turismo ha sufrido más de 61 ciberataques, la cuestión es que no todas las empresas informan de los delitos cometidos porque estos incidentes afectan la reputación de las empresas y su imagen corporativa, así como la confianza de los consumidores”, señaló Benítez Florido, para quien nadie conoce el alcance total de los ciberataques que se cometen en Internet.
Los casos más resonados
La muestra del académico Benítez Florido incluye ciberataques contra gigantes del sector, como Marriott, Wyndham, Hyatt, InterContinental, Mandarin Oriental Hotel Group, Booking.com, FTI company, Sabre Corporation y las agencias de viajes Orbits y Expedia, así como las aerolíneas EasyJet y Air France, entre muchas otras.
Solo por detallar algunos de ellos, en 2018 una filtración de datos afectó a 500.000 clientes de British Airways. La violación comprometió las fichas de inicio de sesión, pago con tarjeta y reserva de viajes. Ese mismo año Marriott International sufrió una filtración de datos que perjudicó a más de 500 millones de usuarios (una de las más grandes de la historia) y expuso datos personales como nombres, direcciones, correos electrónicos y números de pasaporte.
En 2020, EasyJet admitió que se había accedido a los datos personales de 9 millones de clientes y a los datos financieros de más de 2.000 pasajeros en un sofisticado ciberataque. De hecho, la aerolínea fue condenada a pagar una indemnización importante a cada cliente.
Y semanas atrás Air Europa informó otro ciberataque, que se sumó al del pasado octubre de 2023.
¿Son vulnerables las empresas más pequeñas?
En general, los casos más documentados son contra grandes marcas de viajes, pero ya sea una multinacional como una pequeña empresa emergente, ninguna compañía es inmune a la amenaza de ciberdelincuentes y estafadores.
De hecho, según Darren Williams, CEO de la empresa de ciberseguridad BlackFog, “los delincuentes buscan los objetivos más fáciles que puedan encontrar, por lo que las pequeñas cadenas hoteleras sin una infraestructura adecuada son las principales candidatas, ya que es menos probable que hayan invertido en herramientas, procesos y personas para proteger la organización. Menos aún dispondrán de tecnología contra la filtración de datos”.
El experto consultado por Phocuswright coincidió en que, aunque un ciberataque puede resultar embarazoso y costoso para una gran empresa, “suele ser sobre todo una molestia”. Sin embargo, una brecha puede suponer una "crisis existencial" para una startup. "Si eres una organización pequeña y sufres un incidente grave de ciberseguridad, puede ser suficiente para acabar contigo", confirmó Chris Clements, vicepresidente de Cerberus Sentinel.
A todo eso se suma la propia vulnerabilidad del ecosistema en el que se mueven las empresas turísticas. “La cuestión es que los ingresos de las agencias pivotan en torno a la comisión de productos y servicios prestados y vendidos por distintos proveedores, como aerolíneas, hoteles, empresas de alquiler de coches o compañías de seguros. Esto dificulta la búsqueda de posibles amenazas y vulnerabilidades”, añadió Benítez Florido, quien dijo que en los sitios web y apps de las OTA la realidad es más compleja, dado que muchas no evalúan adecuada y continuamente a todos los prestadores de la cadena de suministro y procesos operativos con sus clientes.
Según el académico, hay una falta de interoperabilidad e información entre empresas y consumidores, lo que permite un entorno ideal para hackers y ciberdelincuentes. “Existen grandes vulnerabilidades en la cadena de suministro del turismo vistas desde el lado de la oferta y la demanda tras la crisis pandémica”, concluyó.
¿Cuál es el nivel de riesgo de mi empresa?
Existen diversas herramientas y servicios en el mercado con el objetivo de que las empresas puedan evaluar su nivel de riesgo en ciberseguridad. El Incibe de España, por ejemplo, ofrece una herramienta inicial de autodiagnóstico para en cinco minutos conocer el estado actual de ciberseguridad de la organización.
Te puede interesar:
Herramienta de Autodiagnóstico de Incibe
Ciberseguridad para bajar el riesgo
De acuerdo con el artículo de Phocuswright, los líderes empresariales pueden empezar a minimizar los riesgos de la cadena de suministro preguntándose: "¿Quiénes son mis socios? ¿Quiénes son mis proveedores? ¿Tienen acceso a mis datos? ¿Cómo acceden a mis datos? ¿Tengo controles para supervisar a qué acceden o limitar su acceso?". Los expertos acuerdan en que no es un problema tecnológico, sino que requiere la implicación cultural en la ciberseguridad y la dedicación de recursos.
Para Clements no se trata de salir corriendo a comprar el último producto de moda: "Hay que empezar por los fundamentos de dónde está mi riesgo, dónde están mis datos y cómo me aseguro de protegerlos".
El trabajo de Benítez Florido sugiere que las técnicas utilizadas actualmente por los hoteles y las OTA para prevenir los ciberataques son en su mayoría rudimentarias y obsoletas: “La mayoría no disponen de planes de gestión para hacer frente a situaciones de crisis, ni siquiera de planes de contingencia”.
El académico también critica la habitualidad con la que los clientes no son inmediatamente informados por las empresas cuando sufren ciberataques: “Si las empresas pretenden ganarse la confianza de los consumidores, también tienen que asegurarse de proteger su privacidad. Ambas acciones van de la mano”.
De todos modos, como dijimos, el margen de error se puede reducir. THINKTUR afirma que para eso la ciberseguridad debe empezar a plantearse como un eje más en las estrategias de digitalización de las empresas, partiendo de medidas básicas como:
- Implantación de un plan de seguridad que refleje peligros y posibles amenazas y conflictos.
- Definición de roles y responsabilidades en la empresa: restricción del acceso a los datos más sensibles y definición de la relación con terceros en materia de acceso a datos de clientes (limitar la cesión de datos y exigir la implantación de medidas de seguridad en el desarrollo de proyectos tecnológicos).
- Formación y concientización: el personal debe ser capaz de reconocer aquellos riesgos que puedan dar lugar a incidentes, para así prevenirlos activamente y salvaguardar la seguridad de la información y de los sistemas asociados.
- Restricciones en las redes wifi: el acceso a Internet gratis es hoy en día un servicio básico, pero ello requiere de mayores niveles de seguridad, tanto en las redes internas (uso de trabajadores) como externas (uso de clientes).
- Control sobre la evolución de la presencia online: la seguridad sobre los datos más sensibles de los clientes y de la empresa deben ir acompañados de medidas de vigilancia.
Vocabulario básico de los ciberataques
La terminología para definir las amenazas y ciberataque es profusa y compleja. Sin embargo, siguiendo la clasificación de THINKTUR, estos son los principales tipos de riesgos a los que se enfrentan las empresas turísticas en materia de ciberseguridad:
- Amenazas al sitio web corporativo: para las empresas del sector turístico la web es hoy uno de sus principales activos, por lo cual un incidente de seguridad perjudica seriamente la continuidad del negocio. Las principales situaciones a las que se exponen son: fugas de información, el “defacement” o cambio de apariencia de la web, y los ataques de denegación del servicio.
- Amenazas en Redes Sociales: allí las compañías dan a conocer sus servicios de una manera más visual, moderna, interactiva y cercana a sus potenciales clientes. Pueden sufrir campañas maliciosas de malware (programa o aplicación diseñado con algún fin dañino) o phishing (ataque que se comete mediante el uso de Ingeniería Social con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima), incluso fraudes por suplantación de clientes y proveedores.
- Amenazas en redes de comunicaciones inalámbricas: muchas compañías ofrecen Internet gratuita en sus propias instalaciones a sus clientes. Algunos de sus riesgos son la denegación del servicio (DoS); el denominado “Man-in-the-middle”, donde un atacante se sitúa entre el origen y el destino de la información suplantando a una de las partes; los ataques de fuerza bruta para intentar averiguar las claves de acceso; el MAC spoofing, donde el atacante suplanta la dirección MAC de un dispositivo; o el “eavesdropping”, que consiste en la captura de tráfico de red no autorizado con el objetivo de hacerse con la información que se está transmitiendo por la red wifi.
- Amenazas a través del correo electrónico: son, por lejos, las más comunes en el sector turístico y su uso más habitual, como la suplantación de identidad. Los ciberdelincuentes utilizan la técnica denominada “e-mail spoofing” consistente en enviar correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing, suplantando incluso la identidad de directores o gerentes de la empresa, proveedores o clientes.
Temas relacionados