¿Cómo se producen los ataques de ciberseguridad? Es posible que ya hayas visto (y evitado) una o dos de las amenazas de ciberseguridad más comunes en tu hotel. A continuación, se indican algunas de las formas más frecuentes en que los delincuentes intentan acceder a los datos seguros de tu hotel:

• Ataques de phishing: estos ataques comienzan con un correo electrónico, un mensaje de texto o una llamada telefónica fraudulenta que engaña a un empleado para que comparta información confidencial. Por ejemplo, su hotel podría recibir un correo electrónico que parece provenir de una agencia de viajes online y que le indica que haga clic en un enlace para evitar que se desactive la ficha de su hotel. Un empleado que no esté al tanto de este tipo de ataque podría hacer clic en el enlace y compartir inadvertidamente información financiera o datos personales con el atacante.

• Ataques de ransomware: en este ataque, un software malicioso bloquea el dispositivo hasta que se paga un rescate, generalmente una suma de dinero en criptomonedas. Este tipo de ataque puede dejar inutilizable el software de un hotel durante días. En 2023, un ataque de ransomware afectó a MGM Resorts y dejó fuera de servicio sus sistemas durante 60 horas , lo que significó que su PMS no funcionara, además de no poder hacer tarjetas de acceso, cobrar pagos o administrar el estacionamiento.

• Violaciones de datos: cualquier robo de información confidencial, como datos de tarjetas de crédito y números de pasaporte, se considera una violación de datos. Los hoteles son grandes objetivos de las violaciones de datos debido a la cantidad de datos que manejan. Marriott fue víctima de una violación de datos masiva en 2018 en la que se expuso la información personal de más de 500 millones de huéspedes.

• Amenazas internas: si bien muchos ataques cibernéticos se originan fuera de las organizaciones atacadas, no es raro que se produzca un ataque interno. Cuando los empleados tienen un amplio acceso a la información de los huéspedes, los datos financieros y las contraseñas, es posible que se produzca un robo de datos o una fuga de seguridad. Mantener un control de acceso adecuado a los sistemas y realizar capacitaciones periódicas a los empleados sobre los protocolos de seguridad ayudará a minimizar el riesgo de una amenaza interna.

Como mencionamos anteriormente, los ataques de ciberseguridad ocurren en los hoteles y con una frecuencia desafortunada. Es posible que haya oído hablar de dos importantes incidentes de ciberseguridad que fueron noticia en los últimos años: la filtración de datos de Marriott y el ataque de ransomware en MGM.

Entre 2014 y 2018, Marriott sufrió un ataque de ciberseguridad que expuso la información personal de hasta 500 millones de huéspedes anteriores. Los piratas informáticos consiguieron datos como direcciones, direcciones de correo electrónico, números de teléfono e incluso números de pasaporte y números de tarjetas de crédito. ¿Cómo sucedió? Marriott afirma que los datos estaban protegidos, pero no encriptados, por lo que tan pronto como los piratas informáticos irrumpieron en el sistema de reservas de Marriott, pudieron robarlos fácilmente. Marriott recibió una multa de casi 24 millones de dólares y el incidente pasó a la historia como una de las mayores violaciones de datos de la historia.

En septiembre de 2023, MGM sufrió un ataque cibernético de otro tipo: un ataque de ransomware provocó que los sistemas de atención al cliente y de back office dejaran de funcionar durante unos días, lo que provocó una pérdida de ingresos estimada en 100 millones de dólares. Los clientes informaron de problemas con las tarjetas de acceso, las máquinas tragamonedas, los cajeros automáticos, los sistemas de aparcamiento y otros elementos del MGM, y el incidente fue noticia en todas partes. No está claro si MGM pagó un rescate a los atacantes, pero Caesars sufrió un ataque similar justo antes que MGM, y Caesars pagó unos 15 millones de dólares de rescate a los piratas informáticos en un acuerdo por el que no divulgarían los datos robados.

Ningún hotel quiere ser víctima de un ataque cibernético, así que ¿cómo puede evitar que ocurra un incidente? La buena noticia es que existen algunas prácticas recomendadas sencillas (algunas de las cuales puede implementar hoy mismo) para mantener sus datos seguros y evitar convertirse en un objetivo:

• Implemente controles de acceso sólidos: en cualquier sistema que contenga información confidencial, debe configurar el acceso basado en roles para que solo los empleados que realmente necesiten ver estos datos puedan acceder a ellos. No hay ninguna razón por la que cada empleado deba ser administrador en todos los sistemas. Además, convierta la autenticación multifactor en un estándar para agregar una capa adicional de seguridad.

• Organice sesiones de capacitación periódicas para los empleados: en muchos casos, un empleado hace clic por error en un correo electrónico fraudulento porque no sabía cómo detectar un intento de phishing. Asegúrese de que sus empleados puedan reconocer los intentos de phishing y otras amenazas cibernéticas, y utilice estas sesiones de capacitación para mantenerlos actualizados sobre los últimos protocolos de ciberseguridad en su hotel.

• Redes WiFi seguras para los huéspedes: para mantener seguros los datos confidenciales de su hotel, debe tener dos redes WiFi independientes en el establecimiento: una para los huéspedes y otra para uso interno. La red interna debe estar protegida con contraseña y no debe permitir el acceso a ninguna persona que no forme parte de su organización.

• Cifre sus datos: evite terminar como Marriott, en una situación en la que sus datos corren el riesgo de ser robados porque no están cifrados. Ya sea que esté enviando o recibiendo datos confidenciales, o simplemente almacenándolos, sus sistemas de pago y base de datos de reservas deben estar completamente cifrados.

• Realice auditorías de seguridad periódicas: trabaje con un proveedor externo de ciberseguridad para evaluar sus riesgos de seguridad y realizar intrusiones a intervalos regulares.

• Establezca un plan de respuesta ante incidentes: aunque nunca es divertido pensar en el peor escenario posible, es una buena idea formular un plan sobre cómo usted y su equipo manejarían una violación de la seguridad cibernética. Piense en cómo respondería rápidamente para minimizar el impacto y mantener su hotel en funcionamiento durante el incidente.

¿Qué herramientas y tecnologías le ayudarán a mantener sus datos seguros? Como mínimo, sus dispositivos locales deben tener instalados firewalls y software antivirus para evitar malware peligroso. Los sistemas de detección de intrusiones también pueden alertarlo si se descarga un archivo malicioso o si un usuario no autorizado obtiene acceso a un dispositivo. Cuando envía o recopila datos de invitados, también es una buena idea utilizar un sistema de tokenización para cifrar los datos, eliminando la posibilidad de una violación de datos durante el tránsito.

Dicho esto, las tecnologías emergentes, como las herramientas de ciberseguridad impulsadas por IA y la cadena de bloques, apuntan a agregar un mayor nivel de seguridad a muchos tipos de transacciones. Estas pueden eliminar la necesidad de contraseñas y otras claves de acceso potencialmente vulnerables.

Dado que los hoteles manejan una gran cantidad de datos confidenciales de los huéspedes, desde direcciones de correo electrónico hasta números de pasaporte, es fundamental no solo proteger estos datos, sino también cumplir con las normativas locales. Algunas normativas son especialmente relevantes para el sector hotelero:

• RGPD: el Reglamento General de Protección de Datos es una normativa de la Unión Europea que establece normas sobre lo que las empresas pueden y no pueden hacer con los datos personales. Es posible que hayas visto que los sitios web añaden ventanas emergentes que solicitan tu consentimiento para almacenar cookies; este consentimiento fue el resultado de la implementación reciente del RGPD. Las empresas que tienen sitios web que prestan servicios a usuarios europeos deben cumplir con el RGPD o se arriesgan a una acción legal.

• CCPA: Basada en el modelo del RGPD, la Ley de Privacidad del Consumidor de California es un estatuto estatal que garantiza que los usuarios sepan qué datos se recopilan sobre ellos, cómo se utilizan, dónde se almacenan y cómo eliminarlos.

• PCI DSS: Relacionado específicamente con los datos de tarjetas de crédito, los Estándares de seguridad de datos de la industria de tarjetas de pago describen los estándares que las empresas deben seguir al recopilar información de pago y almacenarla, además de una verificación anual de que cumplen con las prácticas de seguridad recomendadas.

Mantenerse en cumplimiento con estas regulaciones mantendrá sus datos confidenciales seguros y evitará el riesgo de sanciones legales.

Ahora ya sabe cómo mantener seguros los datos y la infraestructura digital de su hotel, pero ¿qué puede esperar con el auge de las nuevas tecnologías? Algunos avances tecnológicos seguramente requerirán una atención especial a los riesgos de seguridad y la protección de datos.

A medida que los hoteles utilizan más dispositivos IoT (Internet de las cosas), como cerraduras inteligentes y altavoces inteligentes, habrá más dispositivos que mantener protegidos, lo que hace que sea aún más importante tener redes WiFi seguras y controles de acceso adecuados.

Además, el aumento de las medidas de seguridad biométricas, como el reconocimiento facial y el escaneo de huellas dactilares, generará información personal aún más sensible que deberá transmitirse y almacenarse de forma segura. Sin embargo, la biometría puede ayudarlo a controlar mejor el acceso a sus sistemas o espacios físicos; una contraseña se puede compartir fácilmente, pero una huella dactilar no.

El cambio hacia experiencias digitales para los huéspedes también genera una mayor complejidad a la hora de prevenir riesgos de ciberseguridad. El acceso sin llave a las habitaciones, por ejemplo, tiene muchas ventajas, pero también aumenta el riesgo de que un hacker acceda sin autorización a la habitación. De manera similar, el check-in a través de dispositivos móviles es más rápido y más cómodo que hacer cola en la recepción, pero significa que los hoteles deben estar más atentos a mantener seguros los datos de los huéspedes en muchos dispositivos y sistemas.