LOS HOTELES TEMEN EL TÉRMINO “VIOLACIÓN DE DATOS”, YA QUE LA PÉRDIDA DE INFORMACIÓN SENSIBLE PODRÍA TRANSFORMAR LA INDUSTRIA HOTELERA PARA SIEMPRE. LAS CONSECUENCIAS PARA LOS AFECTADOS SON MÚLTIPLES Y A LARGO PLAZO: PÉRDIDAS ECONÓMICAS, DAÑO A LA REPUTACIÓN, JUICIOS, PROBLEMAS OPERATIVOS Y PÉRDIDA DE CONFIANZA DE LOS CLIENTES.
En este artículo, vamos a debatir cómo el sector hotelero puede asegurarse de proteger los datos confidenciales de sus huéspedes.
¿Por qué es importante que los hoteles garanticen la protección de datos?
¿Por qué es importante que los hoteles protejan los datos? Para empezar, algunas estadísticas: el 31% de las organizaciones hoteleras en todo el mundo han reportado haber sufrido una violación de datos en algún momento, y el 89% de ellas han sido afectadas más de una vez en un año.
Los hoteles manejan y procesan una gran cantidad de datos confidenciales que se utilizan para el servicio al cliente, la personalización, las proyecciones y la fidelización de los usuarios. Con el uso tan generalizado de estos datos, los hoteles se han convertido en un blanco para ciberataques y robos.
Si un hotel sufre una violación de datos, las repercusiones se sienten a niveles múltiples en las operaciones comerciales:
• Afectación a los clientes (divulgación de información sensible sobre viajes, datos de pago, información para actualizar perfiles de usuario, etc.)
• Perjuicio a los empleados (filtración de registros de nómina, información personal, etc.)
• Incumplimiento de normativas (multas, demandas y otras consecuencias legales)
• Riesgos empresariales (sanciones y pérdida de ganancias debido a la suspensión de operaciones, riesgos para la reputación)
La conciencia sobre la protección de datos está creciendo y el sector hotelero debe tener en cuenta que, si ocurre una violación de datos, no habrá confianza y sin confianza, no habrá clientes. Según Skift, el 75,1% de los viajeros está “muy” o “algo” preocupado por la seguridad de sus datos personales al proporcionarlos a los hoteles. Sin embargo, están dispuestos a relacionarse con empresas que se toman en serio la seguridad de sus datos.
Para evitar las pérdidas mencionadas y anticiparse a los riesgos, es fundamental encontrar una forma confiable de proteger la información. La seguridad de la información debe ser “continua”, no solo desde el momento del check-in hasta el check-out, sino muchas veces mucho después, ya que la base de clientes sigue creciendo a lo largo de los años.
¿Cuáles son los desafíos para la protección de datos personales en la hotelería?
Hay varios desafíos a los que inevitablemente se enfrentan los profesionales de SI/TI al proteger los datos en los hoteles, pero quiero destacar tres principales:
Ataques externos
La gran cantidad y diversidad de datos personales, así como su uso en diversos sistemas (desde la reserva de una habitación hasta el pago en el restaurante), hacen que los hoteles sean un objetivo claro para ciberataques. Además, la posibilidad de acceder a esos datos desde cualquier parte del mundo a través de Wi-Fi complica las cosas. Intentos de phishing, ataques de ransomware, malware y ataques DOS son algunas amenazas comunes. Asociarse con sistemas de reservas de terceros y procesadores de pagos que manejan la seguridad de los datos de manera irresponsable puede convertirse en una puerta de entrada para los atacantes. Los datos sensibles deben ser protegidos en el perímetro exterior.
Un ejemplo claro es el incidente con el proveedor de software de gestión hotelera Otelier, que resultó en la filtración de datos de clientes de hoteles alrededor del mundo. El software basado en la nube de la empresa da soporte a “las principales marcas hoteleras del mundo, propietarios y operadores de más de 10.000 propiedades”. El suceso afectó a empresas tan conocidas como Marriott, Hilton y Hyatt. Según el sitio web HaveIBeenPwned (HIBP), el atacante accedió a los sistemas de Otelier en 2024 y sacó los datos de los clientes de las marcas mencionadas.
Amenazas internas
Aunque tradicionalmente se subestimaba, este tipo de amenaza no es menos peligrosa. Mientras que un intruso externo necesita “preparar el terreno”, un trabajador que tiene acceso interno ya puede acceder a información confidencial desde el inicio. Las filtraciones de datos causadas por empleados son más comunes de lo que pensamos. La violación de las normas de seguridad o la falta de preparación para manejar la información suelen conducir a resultados desastrosos. Es vital anticiparse a estos casos y tener un plan sólido para cuidar la información interna.
Un ejemplo de la práctica de SI de nuestros clientes, es el caso del “despido meditado” que no tuvo lugar. Una empleada de un cliente nuestro, al planear su renuncia, subió a la nube la base de datos de clientes de su hotel. Gracias al sistema DLP y la intervención del servicio de seguridad de la información, se descargaron los archivos antes que la empleada pudiera enviar a terceros y se bloqueó su cuenta. Al final de la investigación, se descubrió que la empleada pensaba irse a trabajar a la competencia.
Datos a la vista
A esto se suma el problema de la neutralidad o acceso inadvertido a datos que deberían ser confidenciales. Cualquier empleado puede tener acceso a información sensible y, en algunas ocasiones, hasta su competencia podría beneficiarse de ello. Y no solo los utiliza, sino que los borra irremediablemente, si no instala el sistema DCAP, que mantiene un archivo de ficheros con datos personales para restaurar la versión necesaria en caso de deterioro o pérdida de los mismos. Aquí es donde la diferenciación de los derechos de acceso juega un papel importante, porque lo que no está protegido puede ser tomado por cualquiera.
Voy a ilustrar con un ejemplo de nuestros clientes que los riesgos son reales y están en la superficie. Una historia típica de negligencia con los escaneados de pasaportes. Nuestro centro de análisis descubrió hace un par de años que los escaneados de pasaportes de los huéspedes del hotel estaban a disposición del público (no revelaremos el nombre del hotel, que corrigió la situación rápidamente). Al conectarse al wifi gratuito, aparecieron varios ordenadores en la red, incluido el de recepción, y en el escritorio había una carpeta con el nombre “escaneos de pasaportes de clientes”. Un analista de SearchInform vio copias escaneadas de los pasaportes de los clientes y envió una serie de preguntas a la dirección del hotel.
¿Qué estrategias son necesarias para la protección de datos en los hoteles?
Las medidas preventivas son fundamentales para evitar incidentes. Es crucial encontrar un equilibrio y mantener la información protegida de cualquier tipo de amenaza. A continuación, menciono algunas de las principales medidas para mejorar la seguridad de los datos:
Implementar herramientas de defensa y mantener actualizadas las versiones de software para resguardarse de amenazas externas.
Actualice periódicamente el software del sistema, que incluye los sistemas operativos y los sistemas de seguridad de la información, para ayudar a solucionar las vulnerabilidades y mejorar la seguridad general del sistema. Implemente al menos un antivirus, y preferiblemente un EDR junto con el antivirus, para evitar actividades maliciosas. Utilice soluciones seguras de procesamiento de pagos que cumplan la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS).
Trabajo exhaustivo de protección contra amenazas internas: instalación de software especializado, introducción de normas de seguridad, formación en SI de los empleados.
El clásico de la protección de datos, el sistema DLP, ofrece protección contra fugas de información y detecta casos de fraude corporativo, robo, etc. Los DLP de nueva generación controlan la gama más amplia posible de canales de transmisión de información, analizan el tráfico entrante y saliente, impiden el envío de datos personales y otros datos confidenciales por correo electrónico y mensajeros, la carga de información en el almacenamiento en la nube y la escritura en unidades flash. El formato de transmisión de los datos no importa para este tipo de software. Para garantizar una respuesta proactiva a las amenazas, es necesario utilizar un sistema SIEM, cuya tarea principal es recopilar datos sobre eventos e incidentes de seguridad, correlacionarlos y analizarlos en tiempo real. Un sistema de este tipo ayuda a obtener una imagen completa de lo que ocurre en la red, identificar anomalías y responder rápidamente a los incidentes.
Las personas son siempre el centro de la SI, así que hay que empezar por la capacitación del personal. Explique qué se puede y qué no se puede hacer, introduzca un régimen de secreto comercial y hable de los métodos de ataque más populares, incluida la ingeniería social. Hay que explicar el mecanismo en sí para que se entienda y se puedan contrarrestar las amenazas.
El problema de los datos a la vista solo se soluciona con un software especializado que configure los niveles de acceso a la información y supervise periódicamente la infraestructura.
El sistema DCAP se utiliza para proteger datos no estructurados: detecta los datos críticos en los almacenamientos corporativos y gestiona el acceso a ellos. El sistema DCAP de nueva generación sustrae el contenido de todos los archivos almacenados e identifica categorías “temáticas” de datos: dónde están los contratos, dónde los datos financieros y dónde los datos personales. Además, el sistema “ve” quién tiene acceso a esos ficheros y qué ocurre con ellos: rastrea los derechos de los usuarios y todas sus operaciones con cada documento. Como resultado, es conveniente crear una protección para todos los archivos de la categoría requerida a la vez.
Cumplimiento de los requisitos reglamentarios y las normas del sector
El cumplimiento de los requisitos de los reguladores mejorará la protección, y también proporcionan orientaciones útiles para ayudar a determinar medidas prácticas específicas. En particular, los hoteleros deben cumplir no solo la legislación laboral, sino también el RGPD, incluyendo los derechos de los interesados y la protección de datos sensibles de los huéspedes. En este sentido, no solo debe dejarse a los huéspedes la opción de revocar el acceso a sus datos en cualquier momento, sino que los datos personales deben protegerse de filtraciones mediante sistemas especializados.
En resumen, hay áreas clave que se deben atender para proteger adecuadamente los datos y prevenir incidentes, como fomentar la ciberalfabetización del personal, aplicar políticas corporativas adecuadas, realizar auditorías de seguridad periódicas, cumplir con los requerimientos regulatorios y usar herramientas tecnológicas de manera equilibrada.
Sergio Bertoni, Analista Senior de SearchInform
