LA CIBERSEGURIDAD EN LA INDUSTRIA HOTELERA

CÓMO ESTAR PREPARADO ANTE CUALQUIER AMENAZA

O P E N D A T A S E C U R I T Y . I O / E S /

O P E N D A T A S E C U R I T Y . I O / E S /

O P E N D A T A S E C U R I T Y . I O / E S /

ÍNDICE

3Cómo afecta la

ciberseguridad a la

industria hotelera

4 Identificación de

amenazas

9 Identificación de

riesgos

13Cómo respondemos

ante un incidente de

ciberseguridad

15 Qué podemos hacer

por su empresa

OPENDATASECURITY.IO/ES/

CÓMO AFECTA LA CIBERSEGURIDAD

A LA INDUSTRIA HOTELERA

3

1

Los avances tecnológicos exigen una

mayor conectividad en los hoteles

con el objetivo de ofrecer un servicio

eficiente y personalizado para cada

cliente.

Esto ha incrementado el riesgo de

que los hackers intenten atacar los

sistemas y redes de los hoteles para

así obtener datos críticos.

Las consecuencias de no protegerse

ante este tipo de ataques pueden

paralizar la actividad de un hotel de

forma indefinida.

Los motivos por los que que la

industria hotelera es especialmente

vulnerable a ataques se encuentran

en las siguientes características:

Los hoteles son establecimientos con

ingresos muy altos, algo que atrae a

los cibercriminales.

Están equipados de sistemas de

comunicación fáciles de hackear y no

actualizados como redes wifi.

Manejan una gran cantidad de

información crítica: datos personales

de clientes, cuentas bancarias,

preferencias en las reservas, etc.

Se trabaja con sistemas vulnerables

como los portales de reservas online.

A través del personal del hotel se

puede obtener datos críticos

utilizando ingeniería social.

La gestión de reservas por emails

convierten a los hoteles en objetivo

de campañas phishing como método

efectivo para el robo de información.

4

El propósito de este documento es

ofrecer información a los hoteles y

cadenas hoteleras para identificar los

principales riesgos a los que se

enfrenta la industria. Para ello,

veremos cómo llevar a cabo los

procedimientos y protocolos

adecuados para proteger los sistemas

y minimizar así las probabilidades de

ser víctima de un ciberataque.

Open Data Security es una empresa

cercana y fiable que ofrece servicios

de auditoría y consultoría en

seguridad informática para todo tipo

de empresas, particularmente,

hoteles.

2IDENTIFICACIÓN DE AMENAZAS

España es el tercer país del mundo que más ciberataques recibe

OPENDATASECURITY.IO/ES/

Al contrario que en otros campos de

la seguridad, la ciberseguridad para

hoteles representa un reto por los

grandes cambios que supone: la

profunda transformación de las

infraestructuras para mejorar la

experiencia del cliente.

Las motivaciones para aprovechar las

vulnerabilidades de los hoteles son

variadas y pueden provenir de

distintos grupos e individuos. La

siguiente tabla ofrece una muestra

de cuáles son esas motivaciones, así

como sus respectivas amenazas:

5

GRUPOS MOTIVACIÓN OBJETIVO

Activistas

Criminales

Oportunistas

Países

Terroristas

Afectar a la reputación

del hotel

Interrumpir sus

operaciones

Destruir datos

Publicar información sensible

Obtener atención de medios

Impedir el acceso al servicio o

sistema

Beneficio económico

Espionaje comercial

Espionaje industrial

Vender los datos robados

Vender los sistemas de

operaciones

Realizar reservas con fines

fraudulentos

Recopilar información para el

crimen organizado: datos y

localización exacta de los

huéspedes,transacciones del

hotel, etc

Ser capaces de sobrepasar los

sistemas de seguridad

Beneficio económico

Copiar know-how

Interferir en la economía e

infraestructura nacional

Causar daño físico y

económico

Desafío personal

Rédito político

Espionaje

Presión para conseguir

sus reivindicaciones

TIPOS DE ATACANTES

OPENDATASECURITY.IO/ES/

Clasificamos los ciberataques

en función de si el objetivo es

aleatorio o si están dirigidos a

alguien o algo en concreto:

6

CIBERATAQUES

Software dañino, diseñado para

acceder o dañar los sistemas de

una empresa sin permiso del

administrador. Existen múltiples

tipos de malware como pueden

ser: troyanos, ransomware,

spyware, etc.

Esta técnica utiliza a las personas

para romper los procedimientos de

seguridad, la mayoría de las veces

(aunque no exclusivamente) a

través de correos electrónicos.

Se trata de un ataque de ingeniería

social que se caracteriza por

intentar adquirir información

suplantando una identidad. La

técnica más empleada consiste en

el envío de un correo electrónico

que incluye un enlace

fraudulento, llevando al usuario a

una web suplantada.

Este ataque prueba con un número

muy elevado de contraseñas con el

objetivo de adivinar la correcta.

Provoca que un recurso sea

inaccesible a usuarios legítimos

mediante el consumo del ancho de

banda de la red de la víctima,

haciendo que el servidor se

sobrecargue y no pueda seguir

prestando el servicio.

Introduce mejoras con respecto a

un ataque de phishing común. Se

centra en el usuario concreto a ser

atacado, empleando compañías

cercanas, gustos e incluso

suplantando familiares como

gancho.

 

Atacar un hotel comprometiendo los

equipamientos, programas

informáticos o servicios contratados

por dichos hoteles.

ATAQUES SIN UN OBJETIVO ESPECÍFICO

ATAQUES CON UN OBJETIVO ESPECÍFICO

Malware

Ingeniería Social

Phishing

Fuerza bruta

Denegación de servicio (DDoS)

Phishing personalizado

Ataques a la cadena de suministro

OPENDATASECURITY.IO/ES/

FASES DE UN CIBERATAQUE

7

Se trata de un estudio previo. Los

atacantes utilizarán fuentes públicas

para conseguir toda la información

disponible acerca de la víctima.

Información en redes sociales, foros

técnicos y propiedades ocultas en

páginas webs pueden ser utilizadas

para identificar brechas y

vulnerabilidades.

La brecha producida dependerá de la

gravedad de la vulnerabilidad y el

ataque elegido. En función de la

brecha, el atacante podrá ser capaz

de:

1. FASE DE RECONOCIMIENTO

2. ATAQUE

Los atacantes intentarán acceder a

los datos y sistemas de la compañía y

el hotel. Esto puede llevarse a cabo

desde el propio hotel o en remoto a

través de internet.

3. BRECHA

Hacer cambios que afecten a los

sistemas, como interrumpir o

manipular los accesos a las

habitaciones.

Acceder a datos confidenciales

como los datos bancarios de los

huéspedes o listas de clientes.

Conseguir acceso total al sistema,

por ejemplo al servicio de

reservas.

4. EFECTO

La motivación y objetivos del

atacante determinarán el efecto que

tiene el ataque sobre la actividad del

hotel.

OPENDATASECURITY.IO/ES/

8

Es de vital importancia que los

técnicos de sistemas de los hoteles

sean conscientes de los riesgos de

un ciberataque y estén

adecuadamente entrenados para

identificar y mitigar dichos riesgos.

1. Robo de información

confidencial de clientes o del

personal (ransomware¹): se

trata de un bien muy preciado

en el mercado negro (Deep

Web) que es monetizado hasta

la mínima expresión.

¹ Ransomware: Software

dañino que encripta el acceso a

determinadas partes o archivos

del sistema y

pide un rescate para

desencriptarlos.

3. Ataques que afectan a la

calidad del servicio: degradan

la experiencia de usuario.

4. Pérdida de confianza de los

clientes, el daño a la reputación

y a la marca de la organización,

pérdidas económicas y riesgos

legales.

EFECTOS REALES DE CIBERATAQUES

2. Ataques que provocan la

disrupción del negocio: no

permiten a las compañías

prestar los servicios.

OPENDATASECURITY.IO/ES/

IDENTIFICACIÓN DE RIESGOS

3

9

Es fundamental que los hoteles

evalúen e identifiquen los

potenciales riesgos a los que se

pueden enfrentar.

Además, deberán evaluar los

sistemas y procedimientos

empleados para clasificar el nivel de

las amenazas. Esta auditoría de

vulnerabilidades deberá ser llevada a

cabo por expertos en seguridad

informática con conocimientos de la

industria hotelera y sus procesos

clave para obtener una estrategia

centrada en los riesgos.

Previo a la auditoría de riesgos se

deberán identificar los sistemas

utilizados por el personal.

Los principales sistemas empleados

en el hotel son:

OPENDATASECURITY.IO/ES/

10

SISTEMAS DE RESERVAS ONLINE

Estos sistemas son

utilizados para gestionar

las reservas de los

huéspedes, pudiendo

ser vulneradas al

acceder a las

Terminales de Punto de

Venta (TPV) y robar

dinero de las tarjetas de

crédito de los clientes.

SISTEMAS DE GESTIÓN DE DATOS

El Internet of Things o

Internet de las Cosas

permite la

interconexión de

objetos a través de la

Red, recibiendo y

enviando información

al instante. Los hoteles

utilizan cada vez más

sistemas basados en

IoT, y los

cibercriminales usan

esos dispositivos para

espiar y robar.

SISTEMAS INTERCONECTADOS POR EL IOT

El incremento del uso

de sistemas digitales

para la gestión de

reservas online hace

que la protección de

datos sea de vital

importancia dentro de

un hotel.

Los sistemas de

almacenamiento de

datos en la nube son

altamente vulnerables a

ciberataques.

OPENDATASECURITY.IO/ES/

11

SISTEMAS DE CONTROL DE ACCESO

REDES DE OCIO Y ENTRETENIMIENTO

La gestión del control de acceso para

garantizar la seguridad del hotel

incluye sistemas de vigilancia,

alarmas, apertura y clausura de

puertas, llaves electrónicas, etc.

Wifi para huéspedes o sistemas de

entretenimiento como películas,

juegos, etc. Estos sistemas no

pueden estar conectados a ningún

sistema de seguridad del hotel.

EQUIPOS DE PERSONAL ADMINISTRATIVO

SISTEMAS DE COMUNICACIÓN

Estos equipos son particularmente

vulnerables cuando tienen acceso a

internet. No pueden estar conectados

a ningún sistema crítico para la

seguridad del hotel.

La disponibilidad de conexión a

internet vía wifi u otros sistemas de

comunicación incrementan la

vulnerabilidad de los hoteles. 

OPENDATASECURITY.IO/ES/

12

AUDITORÍA DE RIESGOSUna vez identificados los sistemas

del hotel se deberá hacer una

evaluación interna de riesgos que

incluya:

1. Identificación y evaluación de los bienes e infraestructuras consideradas

importantes de proteger.

2. Identificación de los procesos claves del hotel que usen estos bienes e

infraestructuras.

3. Identificación de los riesgos fruto de posibles amenazas a estos bienes e

infraestructuras.

4. Identificación y evaluación de los controles de seguridad basadas en el

coste y nivel de eficiencia de estos.

Además de la evaluación de riesgos

interna, estos trabajos se deberán

complementar con empresas

externas especializadas en seguridad

informática para ahondar un poco

más e identificar los riesgos y

brechas que no se hayan descubierto

de manera interna. Es fundamental

que se lleven a cabo pen-testing a

las infraestructuras IT y OT.

Estos tests deberán ser llevados a

cabo por expertos, simulando

ataques reales, para identificar si los

niveles actuales de defensa están a

la altura de la estrategia de

ciberseguridad de la compañía.

OPENDATASECURITY.IO/ES/

13

CÓMO RESPONDEMOS ANTE UN INCIDENTE DE

CIBERSEGURIDAD

4

Es importante entender que los

incidentes de ciberseguridad no

desaparecen por sí solos, por lo que

es altamente recomendable tener un

plan elaborado para reducir las

amenazas y restaurar los sistemas

afectados. El conocimiento de

incidentes previos debe ser utilizado

para mejorar el plan de respuesta

ante nuevos incidentes.

RESPUESTA EFECTIVA El equipo encargado de esta tarea

deberá estar compuesto de una

combinación de personal técnico del

hotel y expertos externos que se

encargarán de restablecer los

sistemas del hotel para que pueda

retomar sus operaciones rutinarias.

OPENDATASECURITY.IO/ES/

14

1.Cómo ocurrió el incidente.Qué sistemas fueron afectados y cuál fue el alcance.Qué datos, comerciales y operacionales, fueron afectados.Evaluar hasta qué punto la amenaza sigue activa.

2.Siguiendo a la evaluación inicial, los sistemas deben ser desinfectados y restaurados tanto como sea posible, eliminando las amenazas del sistema y restaurando el software.

3.Para entender las causas y

consecuencias de un ciber

incidente, se deberá llevar a

cabo una investigación por

parte de la compañía con el

apoyo de una empresa externa

especializada.

La información recopilada será

fundamental para prevenir

futuros incidentes.

Los pasos para llevar a cabo la

investigación deberán ser:

EVALUACIÓN INICIAL

RECUPERAR SISTEMAS Y DATOS

INVESTIGAR EL INCIDENTE

Se investigarán qué medidas de

seguridad han resultado

insuficientes y han posibilitado

el ataque para subsanar errores.

Identificación de los errores

cometidos incluyendo las

posibles mejoras en formación

para incrementar la consciencia

del personal acerca de las

amenazas.

Un mejor entendimiento de los

potenciales riesgos a los que se

enfrenta la industria hotelera.

Actualización de las medidas de

seguridad para prevenir un

nuevo incidente.

PASOS PARA UNA RESPUESTA EFECTIVA

OPENDATASECURITY.IO/ES/

15

QUÉ PODEMOS HACER POR SU HOTEL

5

El nuevo Reglamento Europeo de

Protección de Datos obliga a todas

las empresas, a establecer ciertas

medidas de seguridad que no

comprometan la privacidad de los

ciudadanos europeos. Confíe en

Open Data Security y le ayudaremos

en el proceso de adecuación.

OPENDATASECURITY.IO/ES/

ADECUACIÓN AL RGPD

Evitar cuantiosas multas impuestas

en la normativa

Obtener una mayor protección en

los datos personales de los

clientes.

Proteger en mayor medida sus

sistemas frente a ciberataques.

Incumplir la normativa puede costar entre 20 millones de euros y el 4% del volumen de ingreso anual de la empresa , aplicándose la mayor cuantía, dependiendo de la gravedad, duración y la naturaleza de la infracción.

Con nuestra ayuda podrá:

16

AUDITORÍA DE REDES WIFI

Limitación y control de los puertos

de red, protocolos y servicios.

Configuración de dispositivos de red

tales como firewalls, routers y

switches.

Proteger y controlar los sistemas de

seguridad física.

Incorporar sistemas de detección de

intrusos.

Proteger cualquier sistema de

comunicación.

Control de acceso a las redes wifi.

Instalación de software de

detección de malware.

Configuración segura de los equipos

y su software.

Protección de gestores de correo

electrónico y navegadores web.

Implementación de funcionalidades

de backup para recuperar datos en

caso de ataque.

FORMACIÓNEn Open Data Security impartimos

programas de formación para el

personal de hotel y dirigidos a

cualquier rango y perfil.

El programa de formación para el

personal del hotel incluye:

Riesgos relativos al uso de correos

electrónicos. Reconocer un ataque

de phishing y cómo actuar ante

estas amenazas.

Riesgos relativos al uso de internet:

uso de redes sociales, foros etc.

Riesgos relativos al uso de

dispositivos personales conectados

a la red.

Políticas de uso de contraseñas y

certificados digitales seguros.

Seguridad en cuanto a la utilización

de equipos del hotel por parte de

terceras partes.

Crear conciencia acerca del

impacto de ciberataques para la

seguridad y operaciones del hotel.

OPENDATASECURITY.IO/ES/

17

PENTESTINGRecogida previa de información.

Gestión de la configuración.

Verificación de la seguridad en la

transmisión de datos.

Verificación de la correcta

aplicación de la criptografía.

Mecanismos de autenticación y

gestión de sesiones.

Validación de datos y errores que

puedan llevar a la posibilidad de

una denegación de servicio.

Open Data Security ofrece servicios

de pentesting cuyo objetivo es poner

a prueba la seguridad informática de

su infraestructura.

El procedimiento para realizar estos

tests consta de los siguientes puntos:

AUDITORÍA DE SERVIDORES

Los servidores son uno de los

elementos más importantes de un

hotel ya que aloja las aplicaciones y

servicios de este y facilita el uso

colaborativo de los datos.

Para llevar a cabo la auditoría de

servidores, seguimos los siguientes

pasos:

Según un estudio realizado en 2017 por

Deloitte, el sector turístico se ha

posicionado como una de las tres

industrias target para el cibercrimen.

Realizamos una revisión exhaustiva

de los accesos y permisos de los

usuarios que acceden al servidor.

Los elementos compartidos y las

políticas de seguridad también se

someten a escrutinio.

Llevamos a cabo un test de

intrusión a los servidores para

conocer sus fallos y

vulnerabilidades.

Con los resultados obtenidos,

configuramos la seguridad del

servidor.

OPENDATASECURITY.IO/ES/

17

CONCLUSIÓN

La transformación digital es vital para

todos los sectores, pero para la

industria hotelera este proceso aporta

una serie de grandes oportunidades

de cara a tener un mayor

conocimiento del cliente o usuario. Lo

que también supone nuevos desafíos.

A medida que los hoteles han ido

completando ese proceso han ido 

empleando más sistemas conectados

a la red, mientras que los hackers

diseñan técnicas cada vez más

sofisticadas que pasan desapercibidas

para los usuarios.

Estamos viviendo un momento crucial

en lo relativo a la ciberseguridad, y la

industria hotelera no se puede

mantener al margen.

En Open Data Security tenemos un

equipo cercano y altamente

cualificado para hacer frente a este

desafío.

Contacte ya con nosotros y confíenos

la seguridad de su hotel.

OPENDATASECURITY.IO/ES/

@ODSops

Open Data Security

CONTACTO

+34 900 838 167

opendatasecurity.io/es/

clientes@opendatasecurity.io

Santa Cruz de Tenerife, España

ES HORA DE PROTEGER SU NEGOCIO