En la era digital, los hoteles se enfrentan a crecientes amenazas cibernéticas que pueden comprometer no sólo la seguridad de los datos de los huéspedes y la reputación del establecimiento, sino el flujo de pérdidas económicas. La ciberseguridad es crucial para proteger la información sensible y garantizar una experiencia segura para los clientes, la prevención de la reputación y pérdida económica es fundamental en el equilibrio en el balance de beneficios y pérdidas.
En este artículo destacamos la importancia de la formación en ciberseguridad y cómo prevenir los ataques de ingeniería social en el sector hotelero.
Cada vez que nos hablan de ciberseguridad, nos viene a la mente un encapuchado en un portátil, sin embargo, esta no es la amenaza más peligrosa. La amenaza más dañina, se presenta cuando una persona “real” se pone en contacto con nosotros exhibiendo toda la información recabada. En la gran mayoría de ocasiones los datos nos abruman y terminan minando nuestra confianza poniendo toda nuestra atención en los datos que nos obligan a manejar.
Existe mucha información libre que podemos recabar a través de Internet, y concretamente en las redes sociales se expone mucha información pública, ‘atando cabos’ podemos relacionar una con otra y unir puntos, o bien procesarla a través de Bussines Intelligence o Inteligencia Artificial lo cual se revela más peligrosa si cabe.
Principales Amenazas en el Sector Hotelero
Los hoteles son objetivos atractivos para los ciberdelincuentes debido a: la gran cantidad de datos personales y financieros que manejan, la velocidad a la que se manejan estos datos implica que no se encuentren actualizados, los cambios de turnos del personal del hotel obliga a que la información se mantenga en lugares vacíos fuera del alcance de los empleados, …
Algunas de las amenazas más comunes, y por ser breve incluyen:
- Phishing: Correos electrónicos fraudulentos que buscan obtener información confidencial.
- Ransomware: Software malicioso que bloquea el acceso a los sistemas hasta que se pague un rescate.
- Ataques de ingeniería social: Manipulación psicológica para obtener información o acceso no autorizado.
Este tipo de amenazas son las más comunes, pero la última es la preferida y más rentable para los ciberdelincuentes.
La Importancia de la Formación en Ciberseguridad
La formación continua en ciberseguridad es esencial para todos los empleados del hotel, desde el personal de recepción hasta la gerencia. Un programa de formación efectivo debe incluir:
- Concienciación sobre las amenazas: formar a la plantilla sobre los tipos de ataques y cómo reconocerlos.
- Buenas prácticas de seguridad: Enseñar a los empleados a crear contraseñas seguras, manejar datos sensibles y utilizar herramientas de seguridad.
- Simulacros de phishing: Realizar pruebas periódicas para evaluar la capacidad de los empleados para identificar correos electrónicos fraudulentos; como puntos básicos y fundamentales.
Es un hecho que la formación constante, y las simulaciones deben de ser implantadas en un hotel. La rápida respuesta y la prevención es la mejor arma que tenemos frente a un ciberataque real.
Cómo saber responder y detener un intento de pretexting o baiting es fundamental para mantener seguro el hotel, y esto sólo se consigue a través de personal bien entrenado y formado sobre los puntos que trato más adelante.
Ingeniería Social: El Enemigo más Abstracto y Confiable
La ingeniería social es una de las técnicas más efectivas utilizadas por los ciberdelincuentes. Consiste en manipular a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad del hotel. Algunos ejemplos incluyen:
- Pretexting: Crear una historia falsa para obtener información.
- Baiting: Ofrecer algo atractivo para engañar a la víctima.
- Tailgating: Acceder a áreas restringidas siguiendo a alguien autorizado.
Estrategias para Prevenir la Ingeniería Social
Para protegerse contra la ingeniería social, los hoteles deben implementar las siguientes estrategias:
- Formación específica: Capacitar a los empleados para reconocer y responder a intentos de ingeniería social.
- Políticas de seguridad estrictas: Establecer y hacer cumplir políticas claras sobre el manejo de información y el acceso a áreas restringidas.
- Verificación de identidad: Implementar procedimientos de verificación de identidad para todas las solicitudes de información.
En mi experiencia directa, es un hecho que ‘siempre tiene que haber alguien que nos entregue el dinero’, y puede hacerlo si tiene acceso a él. Concretamente en el sector hotelero, recepción y las personas que se encuentran más en contacto directo al público son las más vulnerables y expuestas a un ciberataque o un fraude.
No existe una forma lógica o razonable, siempre digo que, a toro pasado, todo parecía incoherente, pero siempre es en un análisis posterior.
La responsabilidad de una buena prevención no consiste sólo en formación del personal de atención al público, sino de Recursos Humanos, que debe de ser consciente de qué tipo de perfil profesional concreto debe de saber ubicar en los puestos de responsabilidad directa, cualquiera no nos vale, no sirve; aunque tengamos necesidad de cubrir un puesto debemos de ser cautos al respecto.
Existen perfiles concretos de personas que son capaces de responder ante una amenaza, ante un ataque, y es fácilmente reconocible a través de nuestra experiencia en formación.
Casos Reales de Fraude en Hoteles de Benidorm
Varios casos de ataques de ingeniería social en el sector hotelero es el de la localidad de Benidorm, Alicante: durante los meses de julio a septiembre de 2024, hoteles de las cadenas hoteleras más relevantes de Benidorm han sufrido ataques de pretexting y tailgating, y algunas de sus variantes.
Los hoteles de tres y cuatro estrellas son los que suelen tener en el punto de mira los ciberdelincuentes por su flujo económico y el volumen de personal, tanto empleado como turista. El personal contratado en estos hoteles es de gran volumen y sus protocolos difusos. La necesidad de trabajadores en época de temporada alta, obligan a la precipitación en la contratación de personal temporal carente de formación, por lo que hacen vulnerable al hotel.
Los atacantes realizaron llamadas perfectamente estudiadas, informadas y documentadas que parecían provenir de gestión de contabilidad respaldada por gerencia, supuestamente.
En base a la responsabilidad de los empleados y al desconocimiento de protocolos que debían seguir, llegan a ser víctimas de estafas produciendo pérdidas económicas y de reputación al hotel. Concretamente uno de ellos fue acusado de intoxicación alimentaria de forma indebida a través de redes sociales minando su reputación. En este caso concreto, tendrá que enfrentarse a la recuperación de su reputación conforme a su huella digital, y al aluvión de demandas judiciales y compensaciones económicas a las que se verá sometido, durante años.
Todos los ataques en los que los hoteles que recibieron un ataque de ingeniería social los llevaron a pérdidas de 6.000 euros, 4.000 euros, 8.000 euros y hasta 32.000 euros de forma concreta y perfectamente estudiada, en una estafa a través de un ataque directo a su personal. Todos ellos fueron perfectamente estudiados y orquestados por los ciberdelincuentes. No sólo fueron pérdidas económicas sino desunión y pérdidas de confianza en los grupos de trabajo esto llevó en uno de los hoteles a despidos y malestar en los equipos de trabajo por: sobrecarga de trabajo como consecuencia de los despidos de dos de sus empleados y la falta de confianza en los responsables de departamento.
Mencionar que existe uno en concreto, del que no ha aceptado a que publiquemos su hombre, se puso en contacto directo con nosotros, y pudimos resolver la situación de la forma más eficiente y rápida, deteniendo dos operaciones concretas; una de 4.000 € y otra de 6.000 € que se encontraban en curso. La rápida actuación y los contactos con los que contamos hicieron posible la desarticulación del fraude cuando el mismo se estaba llevando a cabo.
Entendemos que el personal no debe tener conocimientos en protocolos digitales, pero como siempre decimos, lo peor está por llegar debido a que la IA está implementando Deep Fake que, a través de llamadas supuestamente ‘reales’ pueden contactar desde ‘directamente gerencia’ con los empleados evitando historias de problemática de gestión inventadas. Estas estafas con Deep Fake producen profundas brechas de seguridad en la organización, y repercutiendo en el hotel en graves problemas económicos y de reputación. Pero no todo es reputación y dinero, sino abren profundos abismos de desconfianza entre el personal del hotel.
Conclusión
La ciberseguridad es una responsabilidad compartida que requiere la colaboración de toda la organización y de los empleados del hotel, y esto se consigue a través de la formación específica de responsables de departamento y personal en contacto con el público.
La formación continua y la concienciación sobre la ingeniería social son fundamentales para proteger los datos, mantener el flujo económico y de reputación del hotel. Al invertir en ciberseguridad, los hoteles no solo protegen su reputación, sino que también garantizan una experiencia segura y confiable para sus clientes, además de una sostenibilidad y continuidad de ingresos económicos recurrentes.
La ciberseguridad no sólo se apoya en la prevención de ataques digitales, sino en lo más importante: la concienciación del personal de la organización, que es donde el 92% de las brechas se producen, en las personas, siendo ahí, justo ahí donde pivota nuestra formación.
Javier Álvarez Caballero
https://www.linkedin.com/in/javieralvarezcaballero/
