E-30. Ciberseguridad turística - e-book 2022

 

E30. Ciberseguridad turística

       Resumen del  e-book 2022



 

La Plataforma Tecnológica del Turismo, THINKTUR (www.thinktur.org), trata diariamente la innovación en materia turística, observando como las nuevas soluciones tecnológicas se aplican al sector, incrementando su productividad y competitividad, transformando su oferta y conectando a todos los usuarios del ámbito turístico. 


Desde el año 2016, el grupo de trabajo de Centros Tecnológicos en Turismo decidió colaborar estrechamente aunando sinergias e iniciativas. Por ello, como primer paso, se elaboró de manera conjunta un Informe que identificara las principales tendencias tecnológicas en turismo. Tras los años, el Informe se ha convertido en una iniciativa conjunta que cada mes de enero publicamos y presentamos en el foro #techYdestino de FiturtechY, en el marco de la Feria internacional de Turismo FITUR. este año en Enero de 2023. Los informes anuales publicados son los siguientes :

  • 2016 - Tendencias Tecnológicas en Turismo
  • 2017 – Smart data
  • 2018 – Inteligencia Artificial
  • 2019 -  Blockchain
  • 2020 - Sistema de Inteligencia Turística (SIT),
  • 2021 – Resiliencia turística
  • 2022 – Ciberseguridad
  • 2023 -  Metaverso



La prueba de Concepto del proyecto incluye  tema Nº 3, el micro-curso CIBERSEGURIDAD : https://marinadigital.org/prueba-de-concepto/

 Donde damos una visión general de la Ciberseguridad. El e-book 2022 de CIBERSEGURIDAD en el sector Turístico, elaborado por las principales entidades del sector, publicó un informe de 49 paginas , especializado en el Turismo

  

1.- ¿Qué es la ciberseguridad?

 En primer lugar, vamos a conocer el término ciberseguridad, que se puede definir como la práctica de proteger y defender los ordenadores, servidores, dispositivos móviles, los sistemas electrónicos, las redes de comunicaciones y los datos de ataques maliciosos o malintencionados (ISACA). El término se aplica en diferentes contextos y puede dividirse en algunas categorías comunes, como:

 ·       La seguridad de red es la práctica de proteger una red informática de los atacantes, ya sean ataques dirigidos o por malware.

·       La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas. Una aplicación afectada podría brindar acceso a los datos que está destinada a proteger.

·       La seguridad de la información protege la integridad y la privacidad de los datos.

·       La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos. Se incluyen aquí los permisos que disponen los usuarios para acceder, así como el cómo y dónde pueden almacenarse o compartirse los datos.

·       La recuperación ante desastres y la continuidad del negocio definen la forma en que una empresa responde a un incidente de ciberseguridad y volver a estar de forma totalmente operativa en el menor tiempo posible.

·       La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas. Cualquier persona puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro.

 

La ciberseguridad es un proceso, por tanto, las técnicas para abordarla se deben testear y actualizar de forma periódica, ya que las propias amenazas cambian y evolucionan constantemente.

 


¿Cuál es el coste de la ciberseguridad para las empresas?

Según diferentes estudios publicados, las empresas realizaron pagos de ransomware en el año 2020 por valor de más de 400 millones de dólares en criptomonedas, aumentando más de un 300% si comparamos con su año predecesor. Sin embargo, el coste promedio para una empresa en términos de impacto financiero, tiempo de inactividad y coste de oportunidad es mucho mayor, soportando incluso pérdidas millonarias en ingresos posteriores al ciberataque, además del daño sufrido a la reputación de marca y al valor para los socios o accionistas.

En este marco, desde la Plataforma Tecnológica del Turismo - Thinktur, en colaboración con los Centros Tecnológicos del Turismo (Eurecat, Fit Canarias Invat·tur, Itrem, Tecnalia, Turistec, Andalucia Lab, Vicomtech, ITH y Segittur), se ha querido promover una vez más la elaboración de un Informe, centrado en dar visibilidad a los riesgos a los que se expone el sector turístico en materia de ciberseguridad y los aspectos que todo negocio del sector debe tener en cuenta a la hora de diseñar un plan estratégico de seguridad digital, plan que, si no tienen, deberían comenzar a diseñarlo con ayuda de las recomendaciones y conocimientos que podrá adquirir gracias a las aportaciones de los centros tecnológicos participantes y de las empresas asociadas que han contribuido en este Informe.


2.- TURISMO Y CIBERESPACIO: EL RETO DE LA SEGURIDAD

 

El sector turístico en España ha crecido y se ha beneficiado por nuestra posición geoestratégica, geopolítica y geoeconómica en valores absolutos de competitividad. Esta situación nos ha favorecido durante años, además, se ha venido acompañando de mejoras en el posicionamiento de nuestros destinos y la comercialización, así como por los avances e inversiones centrados en la calidad y la mejora de las infraestructuras o la cualificación de los recursos humanos. Por otro lado, se ha avanzado en las oportunidades originadas por la aplicación y el uso de la tecnología, acercando los destinos a los clientes y apoyando y ayudando en la mejora de gestión en todo lo que ella conlleva.

 

Aunque hemos sufrido duramente el varapalo de la COVID, el sector sigue desarrollándose y debe buscar la diferenciación necesaria para incrementar la competitividad en un nuevo hábitat que ahora es hibrido. El mundo virtual y el físico se ha fundido y la digitalización y la hiperconectividad ahora deber ser una prioridad.

En este ámbito global y digital en el que las sociedades se están construyendo y crecen, vivimos un nuevo paradigma, un cambio explosivo e impactante que ya se venían vaticinando. Estamos siendo testigos de la desaparición de las fronteras entre los flujos virtuales de la red y la realidad física y así, la sociedad, la economía, el turismo en este ecosistema tan complejo.

 

Se ha creado un nuevo hábitat, un nuevo destino que está perfilando el mundo y el consumo. El ecosistema digital, la digitalización y el desarrollo del ciberespacio y sus características nos han llevado al aprovechamiento de múltiples oportunidades, pero también a enfréntanos a importantes retos y desafíos.

 

Por un lado, el sector se enfrenta a las exigencias de un mercado global que requiere de una fuerte tecnificación e innovación en pro de la competitividad y la disponibilidad de productos y servicios donde se premia la inmediatez y la información, y por otra, una disciplina que, sin ser nueva, está impactando directamente en los negocios de cualquier tipo y que es especialmente sensible para el turismo, la seguridad.

 


 Sobre este último, ya no vale solo tener en cuenta los riesgos y amenazas convencionales a los que día a día se enfrenta el sector, sino que hace años que ha entrado en juego el ciberespacio. Un espacio anárquico donde no existen paredes, no existen fronteras; muta rápidamente y es altamente dinámico; prácticamente incontrolable; débilmente regulado y completamente global y accesible.

 

Así, con la aparición de internet de las cosas, el todo conectado, la realidad virtual, la geolocalización, la domótica aplicada a edificios inteligentes (inmotica), los miles y millones de servicios on line, los medios de pago inteligentes o la ingente cantidad de datos que se generan en el sector, las Smart cities, el Smart destination, la movilidad; la nube; los robots autónomos y la inteligencia artificial etc..., hemos ampliado nuestros niveles de exposición en el ciberespacio a amenazas que antes no habíamos considerado. A esto hay que añadir la vulnerabilidad de las infraestructuras que aseguran el mantenimiento de los servicios esenciales para la sociedad y que impactan de manera directa sobre el sector (la luz, el agua, el transporte, entre otros)

 

Sin darnos cuenta, hemos aumentado el número de puntos y las posibles formas en que los delincuentes, ahora ciberdelincuentes, pueden acceder a redes, a sistemas, a servicio cuyas acciones pueden tener consecuencias inesperadas. Los ciberataques están impactando sobre los intereses empresariales, el desarrollo del negocio o su continuidad, la reputación o la competitividad. Hemos de sumar a esto la falta de concienciación y sensibilización de las organizaciones y de sus empleados ante este problema.

 

El sector debe ser consciente de asegurar la gestión con sus clientes, integrar la tecnología de manera segura; mejorar la recopilación y seguridad de los datos que maneja e implementar la concienciación y la cultura de ciberseguridad haciéndose conocedor de los riesgos y amenazas que comporta la conectividad exponencial a la que se enfrenta, junto a la transformación digital en la está inmerso.

 

Ejemplos como el robo de información y datos de clientes por intrusiones en sus sistemas o las incorrectas configuraciones de las redes wifi abiertas , el fraude, el cifrado de la información de la empresa para pedir un rescate económico para recuperarla (ransonware), la posibilidad de intervenir en el sistema de control remoto de las habitaciones pudiendo manipular: termostatos; luces; televisores; persianas etc. o la simple suplantación de una página web o su desfiguración no son casos de ciencia ficción. Sin olvidar la falta de concienciación de los usuarios de los sistemas o los ataques de ingeniería social.

 

En este sentido, es evidente la necesidad de que se tomen medidas para asegurar la protección contra una amplia gama de amenazas, como las descritas, pero teniendo en cuenta que el turismo tiene características que lo distinguen de otras industrias. La importancia de entender la seguridad como un elemento de crecimiento, competitividad y resiliencia del turismo, nos lleva a considerar la necesidad de construir destinos altamente comprometidos y sinérgicos con la tecnología, pero también confiables un entorno que cambia rápidamente.

 


  

3.- El software malicioso RANSOMWARE  en el sector turístico.

 Las empresas del sector turístico dependen en gran medida de las tecnologías digitales para llevar a cabo las operaciones críticas de su negocio, incluido el procesamiento de pagos, la contabilidad o la gestión de reservas. En los hoteles, el uso de la tecnología se extiende incluso a la gestión del acceso a las habitaciones mediante tarjetas. Debido a esta dependencia que se está generando y se generará en los años venideros, las empresas del sector turístico deben de estar prevenidas y preparadas para que no sean víctimas de ciberataques y ciberincidentes, especialmente mediante el uso de ransomware.

 

El ransomware es un software malicioso (malware) que normalmente cifra los archivos almacenados en un sistema y borra los archivos originales, lo cual imposibilita su acceso a menos que se pague un rescate. Existen variantes que simplemente bloquean todo el sistema y luego le vende al usuario una contraseña para desbloquearlo. Otras variantes también roban los datos almacenados en el sistema antes de cifrarlos para así poder extorsionar a la víctima con la amenaza de hacer pública su información si no ha pagado el rescate.

 

En los últimos años hemos sido testigos de muchos ataques de este tipo, sin ir más lejos, en octubre de 2021 una cadena hotelera internacional sufrió un ataque de ransomware que afectó a algunos de los hoteles de la cadena, uno de ellos en Barcelona, cuya página web dejó estar disponible. Pero ya en 2016, los dueños de un hotel austriaco vieron cómo, hasta en cuatro ocasiones, perdían el control de las cerraduras electrónicas de las habitaciones y otros sistemas por culpa de diferentes ataques de ransomware.

 

Ransomware como servicio  Al igual que muchas otras tecnologías o herramientas, el ransomware es cada vez más fácil de encontrar y utilizar por los ciberdelincuentes de todo el mundo, los cuales ya no tienen que desarrollar su propio software de ransomware para lanzar un ataque e infectar sistemas de empresas a lo largo y ancho del planeta, sino que ahora hay grupos organizados que se dedican a desarrollar software de ransomware para posteriormente venderlo como un servicio (as a Service) a cualquier persona o grupo interesado. Muchos ya son los ejemplos de ataques de ransomware que han utilizado software desarrollado por terceros, por ejemplo, el ransomware Ryuk, que infectó los sistemas del SEPE (Servicio Público de Empleo Estatal) y paralizó su actividad en todo el país durante semanas a principios de 2021.  

 

Al igual que los productos de software como servicio (SaaS, de sus siglas en inglés), el ransomware como servicio (RaaS, de sus siglas en inglés) proporciona un acceso relativamente barato (mucho menor de lo que cuesta desarrollarlo) y sencillo a este tipo de software malicioso a individuos, bandas u organizaciones que desean realizar un ataque de ransomware. Los proveedores de RaaS generalmente obtienen un beneficio del 20% al 30% de las ganancias generadas por el rescate que pagan las víctimas.



 

 

Pagar no debería ser una opción

En caso de ser víctima de un ataque de ransomware, no se recomienda en ningún caso pagar el rescate. Pagar no garantiza recuperar toda la información que te han cifrado, según el estudio de Sophos “El estado del ransomware 2021”. Dicho estudio confirma que sólo el 8% de las empresas que pagan un rescate recuperan todos sus datos. Por otro lado, si realizas el pago es posible que seas objeto de futuros ataques de chantaje o extorsión. Al fin y al cabo, son delincuentes y ya saben que estás dispuesto a pagar. También se dan casos en los que los ciberdelincuentes solicitan una cifra mayor de rescate una vez has pagado la cifra que habían fijado inicialmente. Por último, y no menos importante, hemos de ser conscientes que pagar fomenta el negocio de los ciberdelincuentes.

 

¿Cómo podemos evitar ser la próxima víctima?

A día de hoy, la mayor parte de los ataques de ransomware consiguen infectar los sistemas de las víctimas a través de engaños de ingeniería social. Los ciberdelincuentes consiguen que los usuarios realicen una determinada acción para su interés mediante un engaño. Gracias a esta acción los ciberdelincuentes consiguen instalar el software malicioso en el sistema de la víctima y así infectarlo.

 

Para proteger las empresas, y en este caso, las turísticas, ante los ataques de ransomware, lo primero de todo es evitar ser víctima de engaños, y esto pasa por la concienciación y la formación de los trabajadores, colaboradores y proveedores de las empresas Todo este colectivo debe ser consciente de las serias consecuencias que puede tener un ataque de este tipo y que conozcan las técnicas de ingeniería social más comunes para que no les cojan por sorpresa.

 

Por otro lado, es importante configurar y mantener los sistemas para evitar que sean vulnerables, y esto pasa por disponer también de software especialmente destinado a la protección de dispositivos, como los antivirus o antimalware, y mantenerlos siempre actualizados, al igual que el resto de los sistemas y software.  También es muy importante en este caso realizar copias de seguridad de los datos de forma periódica y almacenarlas en otro entorno, ya sea offline, en el cloud o en una red diferente, a la vez que se comprueba periódicamente que es posible restaurar las copias que se están realizando.

 

Minimizar la exposición de servicios internos a Internet, de manera que sea más difícil para los ciberdelincuentes infectarnos o que se propague la infección, también ayudará a prevenir este y otros muchos tipos de ciberataques. De la misma forma, contar con un corta fuegos actualizado y bien configurado puede evitar que los ciberdelincuentes, aunque ya se encuentren dentro de la red, puedan ejecutar sus acciones maliciosas y descargar el malware.

 

Por último, cabe destacar que otras acciones como controlar los accesos, utilizar segundos factores de autenticación, restringir el uso de aplicaciones o equipos no confiables o actuar rápido en caso de incidente, también ayudan a prevenir todo tipo de ataques.

 

 


 

 

4.- CIBERSEGURIDAD EN EL TURISMO: UNA REFLEXIÓN SOBRE LOS RETOS A LOS QUE SE ENFRENTA EL SECTOR

 

Ante el escenario de reactivación y relanzamiento que afronta el sector turístico tras los peores momentos de la crisis derivada de la Covid-19, la digitalización de empresas y destinos turísticos aparece como una de las claves esenciales. La automatización de procesos y la aplicación de la Inteligencia Artificial, el Big Data y el procesamiento de datos masivos, la realidad virtual y extendida, las tecnologías contact-less, etc., surgen entre los aspectos clave de dicho proceso de digitalización, con un nexo común: la ciberseguridad.

 

Es evidente que la tecnología ha cambiado la forma de interactuar entre turistas y visitantes. Así, los clientes de un hotel pueden realizar el check-in a través de sus dispositivos móviles o mediante sistemas de reconocimiento facial; la sensorización de recursos turísticos se ha generalizado; los propios visitantes se han convertido en generadores de contenido, etc. En definitiva, ya no se concibe hoy día el turismo sin tecnología, con un crecimiento exponencial de flujos de información y dispositivos conectados que deriva en una cuestión no menos relevante: la seguridad de sistemas e infraestructuras y, lo que es más importante, la de turistas y visitantes. En este contexto, los desafíos para el sector son enormes y, probablemente, todavía no hemos sido capaces de visualizarlos.

 

¿Y cuáles son esos principales desafíos a los que se enfrentan empresas y destinos turísticos en materia de ciberseguridad?

 

Siendo el turístico uno de los sectores con mayor potencial de aplicación de tecnologías y procesos como la inteligencia artificial, la realidad aumentada y el procesamiento de datos masivos, esto lo convierte en un escenario perfecto para los ciberdelincuentes, que encuentran en estas tecnologías brechas digitales que aprovechar. El robo de información y los ataques a sistemas de información son algunos de los principales riesgos que corre el sector turístico, pues los datos se han convertido el nuevo oro del siglo XXI también para los ciberdelicuentes, que ven en la venta de datos en el mercado negro una vía rápida para la obtención de un alto rédito económico. De ahí que a medida que el sector avanza en su digitalización, también deba hacerlo en materia de seguridad pues prácticamente todo el customer journey y la cadena de valor del sector suponen la generación de datos relativa a clientes y empresas turísticas.

 

Los daños producidos por problemas derivados de ciberseguridad en las empresas y destinos turísticos van desde la pérdida de reputación o confianza por parte de los clientes, hasta la renovación de sistemas de información o la apertura de procesos legales, con la consecuente pérdida económica que ello supone.

Ninguna empresa ni destino turístico está exento de sufrir un problema con la ciberdelincuencia. Pero bien es cierto que el margen de error se puede reducir. Por eso, la ciberseguridad debe empezar a plantearse como un eje más en las estrategias de digitalización de las empresas, partiendo de medidas básicas como:

1. Implantación de un plan de seguridad que refleje peligros y posibles amenazas y conflictos, tanto en el ámbito informacional como en el operacional.

2. Definición de roles y responsabilidades en la empresa: restricción del acceso a los datos más sensibles y definición de la relación con terceros en materia de acceso a datos de clientes (limitar la cesión de datos y exigir la implantación de medidas de seguridad en el desarrollo de proyectos tecnológicos).

3. Formación y concienciación: el personal debe ser capaz de reconocer dichos riesgos que puedan dar lugar a incidentes, para así prevenirlos activamente y salvaguardar la seguridad de la información y de los sistemas asociados, y esto solo se consigue con una adecuada formación y concienciación.

4. Restricciones en las redes wifi: el acceso a Internet gratis es hoy en día un servicio básico, pero ello requiere de mayores niveles de seguridad, tanto en las redes internas (uso de trabajadores) como externas (uso de clientes).

5. Control sobre la evolución de la presencia online: la seguridad sobre los datos más sensibles de los clientes y de la empresa deben ir acompañados de medidas de vigilancia que permitan prever problemas y activar medidas para actuar ante ellos.

 

En definitiva, planificar en clave de ciberseguridad el proceso de digitalización y acompañarlo de la formación y concienciación adecuada son esenciales. Y es que, como decía Sun Tzu, la mejor victoria es vencer sin combatir, detectando vulnerabilidades en materia de ciberseguridad y previendo cualquier ataque, lo que permitirá mitigar y minimizar riesgos.

 


 

5.- LA CIBERSEGURIDAD COMO ELEMENTO 360º EN EL NEGOCIO TURÍSTICO

 

Es una realidad que el 2021 se va a cerrar como el año con más ciberataques de la historia en España batiendo el récord que ya ostentaba 2020, y que el sector turístico se sitúa como el tercer sector más atacado en nuestro país. Por ello, el sector del alojamiento debe entender la ciberseguridad como un elemento 360º a aplicar en el entorno del negocio, con objetivo de reducir las innumerables vulnerabilidades y accesos en los que se localizan las diferentes brechas de seguridad, como son las infraestructuras TIC, redes, dispositivos (USBs, impresoras, etc.), domótica, etc., gracias a sistemas de protección adecuados, mantener la seguridad de los datos internos, de los proveedores y de los clientes así como asegurar transacciones de pago seguras, etc. Y para cuando el daño ya está hecho, el contar con una póliza de seguros en materia de ciberseguridad nos permitirá estar preparados para cumplir con la normativa vigente, poder continuar con la actividad y hacer frente a los daños causados.

LA CIBERSEGURIDAD COMO ELEMENTO 360º EN EL NEGOCIO HOTELERO

Hay que tener en cuenta que cada vez tenemos más procesos en los que interviene la tecnología de manera activa en nuestros hoteles, y cada vez gestionamos más datos y de mayor valor. Para poder enfrentarnos con garantías de éxito a este desafío debemos conseguir que la protección de las redes en los hoteles sea transversal a todos los dispositivos y a todos los ámbitos del hotel. El modelo de custodia de datos ha cambiado, ahora además de custodiar los datos que el establecimiento necesita para su funcionamiento habitual, debemos de velar también por los datos que nuestros huéspedes llevan en sus dispositivos, para garantizar la seguridad y privacidad durante su estancia. Es necesario que valoremos más allá de las responsabilidades legales en las que podemos incurrir, también los posibles daños reputacionales que este tipo de incidentes pueden provocarnos. La protección de las redes debe ser integral, tanto perimetral (ataques desde exterior) como en profundidad (protección desde el interior) ya que un dispositivo comprometido puede afectar al resto. Para poder hacer de nuestro hotel un “ecosistema” seguro, necesitamos contar con partners en ciberseguridad con amplia experiencia en el sector hotelero, que nos ayuden a diseñar las redes desde su origen de una forma segura, y que puedan definir los posibles vectores de ataque en función de la tecnología y el contexto de cada hotel.

 

En el sector turístico se maneja una gran cantidad de información sensible, unido a que solo un 5% de las compañías son consideradas expertas en ciberseguridad, lo convierte en un objetivo muy atractivo para ciberdelincuentes. Son muchos los riesgos a los que las empresas turísticas están expuestas (ransomware, phishing, etc.), sobre todo desde la rápida digitalización provocada por la pandemia, al permitir, gracias al teletrabajo, el acceso a los sistemas de información desde puntos y sistemas sin control o menos seguros que los propios implantados en las empresas. Por todo ello, la ciberseguridad debe ser considerada como un pilar básico dentro de cualquier plan estratégico de empresa cubriendo al menos dos aspectos fundamentales:

 

1.     Mitigar los riesgos de ciberseguridad (Identificar, Proteger, Detectar, Responder y Recuperar - NIST Cybersecurity Framework): implantando un plan director en ciberseguridad, realizando diagnósticos de seguridad que nos alerten de posibles amenazas, haciendo auditorías de cumplimiento, analizando aplicaciones e infraestructuras (incluyendo WIFIs), implantando soluciones tecnológicas de ciberseguridad, disponer de un BIA y un Plan de Continuidad de Negocio...

2.       Concienciación y Formación: analizando las probabilidades de éxito realizando ataques simulados de phishing, módulos en entrenamiento interactivos, herramientas de reporting de incidentes e informes de resultados.

 

Backup, por supuesto que sí, pero además es necesario conocer, analizar y corregir las vulnerabilidades de tus sistemas, y formar y concienciar al personal en aspectos de ciberseguridad, para poder garantizar un adecuado nivel de seguridad.

Por otro lado, las empresas deben establecer un proceso de pago seguro para las transacciones online con sus clientes, teniendo en cuenta aspectos tan importantes como:

Establecer medidas de protección de ciberseguridad en los vectores de entrada que utilizan los ciberdelincuentes para ocasionar un incidente tecnológico, fraude o un secuestro (ransomware):

controles perimetrales seguridad y uso de protocolos de comunicación cifrados y autenticados.

controles en el correo electrónico y proxy de navegación que eviten la llegada de SPAM, correos fraudulentos, malware o enlaces maliciosos a los empleados.

sistemas actualizados y bastionados (configurados a nivel de seguridad).

aplicaciones de seguridad a nivel de sistema: basadas en firmas (EPP) y de detección y respuesta de amenazas (EDR).

Establecer un proceso de recuperación eficaz después de un incidente de seguridad que permita recuperar la información y los sistemas de forma eficaz. Este proceso de recuperación y vuelta a la normalidad debe ser entrenado.

 

En relación con el proceso de pago seguro es importante destacar la Directiva de Servicios de Pago PSD2. PSD2 establece medidas de seguridad obligatorias para todos los comercios con el objetivo de reducir los niveles de fraude en las transacciones digitales, como por ejemplo la autenticación reforzada de clientes para compras online.

Finalmente, dada la gran dependencia tecnológica que tienen nuestras empresas actualmente, resulta de vital importancia contar con una póliza de ciberseguro que garantice la continuidad de nuestros negocios ante un incidente cibernético. Las consecuencias de un eventual incidente van mucho más allá de los daños en nuestros sistemas y bases de datos, y de los costes directos que supone recuperar la actividad normal del negocio. Estas consecuencias pueden implicar una pérdida de beneficios importante por la paralización de la actividad, reclamaciones cuantiosas por parte de usuarios, multas de la AEPD o daños reputacionales a la empresa. Por estos motivos, el ciberseguro constituye una capa clave de la seguridad digital, siendo el único eslabón de la cadena que contempla la reparación económica por los daños directos y consecuenciales que puede tener un ataque o error en nuestros sistemas.

 


 

 

 

6.- LA CIBERSEGURIDAD COMO ELEMENTO CLAVE EN LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS TURÍSTICAS

 

 

El sector turístico como una de las industrias objetivo top para los ciberdelincuentes.

El sector turístico se enfrenta a grandes amenazas en materia de ciberseguridad como son el robo de información para venderlo en el mercado negro, como los ataques que provocan la disrupción del negocio que no permiten a las empresas la prestación de sus servicios, y los ataques que afectan a la calidad del servicio ofertado y degradan la experiencia del usuario de este. Asimismo, el riesgo en el sector turístico se incrementa en su cadena de valor, en la que hay negocios de terceros que completan y complementan la propuesta ofertada a los usuarios, añadiendo nuevos riesgos y amenazas sobre la seguridad de los datos de sus clientes y, por tanto, de la propia empresa. Ya que en el desarrollo de la actividad de la compañía se gestiona una gran cantidad de información de los clientes, como datos personales y bancarios, un incidente de seguridad puede poner en riesgo la confidencialidad de esta información.

 

La pérdida de confianza de los clientes, daño a la reputación de la marca de nuestra compañía, pérdidas económicas y riesgos legales constituyen las principales consecuencias y los principales efectos de un ciberataque en la industria del sector turístico.

Ser consciente de las amenazas y conocerlas a fondo es esencial para poder evitarlas, y así proteger nuestros sistemas e información. Por ello se han publicado diversos manuales de uso como de buenas prácticas y guías de recomendaciones para el sector, como el publicado por el INCIBE este año, donde se detallan en profundidad algunas de ellas. Estos ciberataques los podemos englobar en las siguientes principales categorías:

 

·       Amenazas al sitio web corporativo, donde las empresas del sector turístico y ocio ofrecen al potencial consumidor sus servicios y productos, y la indisponibilidad de dicho escaparate perjudica seriamente la continuidad del negocio. Las principales causas que se detallan en profundidad algunas de ellas. Estos ciberataques los podemos englobar en las siguientes principales categorías:

·       Amenazas al sitio web corporativo, donde las empresas del sector turístico y ocio ofrecen al potencial consumidor sus servicios y productos, y la indisponibilidad de dicho escaparate perjudica seriamente la continuidad del negocio. Las principales causas que  

·       provocan incidentes de seguridad en el sitio web corporativo son las vulnerabilidades, las malas configuraciones, errores de diseño y fugas de información, el “defacement” o cambio de apariencia de la web, y los ataques de denegación del servicio (DoS).

·       Amenazas en Redes Sociales, donde las compañías dan a conocer sus servicios de una manera más visual, moderna, interactiva y cercana a sus potenciales clientes, pueden sufrir campañas maliciosas de malware o phishing, incluso fraudes por suplantación de clientes y proveedores.

·       Amenazas en redes de comunicaciones inalámbricas, que muchas compañías ofrecen para facilitar una conexión a internet gratuita en sus propias instalaciones a sus clientes. Algunos de sus riesgos, que extrañan tanto aspectos legales como técnicos, son la denegación del servicio (DoS); el denominado “Man-in-the-middle”, donde un atacante se sitúa entre el origen y el destino de la información suplantando a una de las partes; los ataques de fuerza bruta, para intentar averiguar las claves de acceso; el MAC spoofing, donde el atacante suplanta la dirección MAC de un dispositivo; o el “eavesdropping”, que consiste en la captura de tráfico de red no autorizado con el objetivo de hacerse con la información que se está transmitiendo por la red wifi.

·       Amenazas a través del correo electrónico, que son las más comunes que afectan a las empresas del sector turístico. El fraude online, y su uso más habitual como es la suplantación de identidad por correo electrónico, es una de las ciberamenazas que más preocupa en la actualidad a las empresas. Los ciberdelincuentes utilizan la técnica denominada “e-mail spoofing” consistente en enviar correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing, suplantando incluso la identidad de directores o gerentes de la empresa, proveedores o clientes.

·       Otras amenazas, como pueden ser los pagos con tarjetas robadas o ajenas, el fraude en las reservas vacacionales o las transferencias bancarias o cheques sin fondos.

·       Pese a que estos ataques crecen exponencialmente en la actualidad, muchos de estos riesgos pueden ser evitados, o al menos controlados, si aplicamos las siguientes medidas de seguridad:

 

·       Seguridad en los datos: debemos reunir la información necesaria y limitar su acceso a terceros (partners, agencias de marketing, etc.) realizando una gestión de registros, así como utilizar sistemas de respaldo y realizar copias de seguridad.

·       Control de accesos a los datos más sensibles: restringimos el acceso de datos sensibles a los empleados y limitamos el número de accesos de administrador, así como la obligación de utilizar contraseñas de acceso robustas.

·       Monitorización y segmentación de la Red: se aconseja monitorizar la Red 24x7 y localizar los datos más sensibles en un lugar más seguro, manteniendo actualizados los elementos de la red (firmware) y teniendo al día las actualizaciones de seguridad.

·       Exigir medidas de seguridad a proveedores de servicios. Por ejemplo, debemos exigir seguridad de aplicaciones desarrolladas por terceros.

·       Establecimiento de políticas estrictas en el apartado de cobros a clientes y pagos a proveedores, a través de plataformas electrónicas con reputación demostrada y seguridad actualizada.

·       Establecimiento de medidas organizativas que complementen y den sentido a las medidas técnicas implantadas, como fomentar la formación y concienciación de los empleados.

·       Por tanto, las tecnologías como IoT, Big Data, 5G, edge computing, la nube y la ciberseguridad son los grandes protagonistas de la transformación digital del sector turístico y del ocio en España. Y, no cabe lugar a duda, que no existirá transformación digital sin el compañero ideal de la digitalización: la ciberseguridad.

 

 

 

7.- EL SECTOR TURÍSTICO ANTE EL RETO DE TRANSFORMACIÓN DIGITAL SEGURA

 No cabe duda de que la transformación digital con la utilización de las tecnologías habilitadoras va a representar un importante aliciente para las empresas del sector del turismo y ocio por el aumento de productividad y rentabilidad que se espera lleven asociados. Algunas de estas tecnologías, también llamadas disruptivas, como el cloud, el IoT (Internet of Things), la inteligencia artificial, el análisis avanzado de datos (big data) o la robótica, se consideran la piedra angular de la digitalización con un efecto innovador en el desarrollo de productos, la aplicación en la mejora de los procesos o la gestación de originales modelos de negocio.

 Con el uso cada vez más extendido de estas tecnologías y sus aplicaciones por empresas y usuarios se despliegan también nuevos escenarios para los ciberdelincuentes que aprovechan la potencia de la tecnología, y por otra parte sus vulnerabilidades, en su particular economía de escala. Así, vemos ingeniosos ataques a través de dispositivos conectados, la automatización de las campañas de phishing y el aumento de sus capacidades de evasión con IA (Inteligencia Artificial), o el alquiler en la nube de todo tipo de componentes para lanzar campañas de malware como servicio, por poner algunos ejemplos. Como siempre, los incidentes de seguridad llevan aparejados, aumentados ahora por estas tecnologías, pérdida de datos o de información sensible o de su confidencialidad, daños en la integridad de la información o de los sistemas, extorsión, fraude o fallos de disponibilidad; lo que supone casi siempre daños económicos y reputacionales, sin olvidar los posibles riesgos y perjuicios para los clientes.

 

Por ello, abordar estos cambios de espaldas a la ciberseguridad no es sensato, ni inteligente debido a los efectos devastadores que un incidente pudiera tener para la continuidad de las empresas del sector y para los usuarios que resulten afectados. En este sentido, es necesario abordar una transformación digital segura que aporte garantías, tanto a los usuarios como a los empleados y empresas del sector. Estas deberían contar con mecanismos de ciberresiliencia para soportar y superar con suficiente rapidez los posibles incidentes.

 

Por otra parte, el ecosistema del sector es un complejo entramado de empresas con tamaños y ámbitos de actividad distintos. Estas interrelaciones beneficiosas en el reparto de retornos económicos pueden serlo también para la defensa ante posibles incidentes de ciberseguridad o, por el contrario, convertirse en el canal de extensión de los posibles ataques. Es por esto por lo que se plantea que la estrategia de ciberseguridad del sector ha de contar con acciones coordinadas de todos los actores del mismo, y de estos con las FCSE (Fuerzas y Cuerpos de Seguridad del Estado) y los equipos de respuesta ante emergencias informáticas o CERT (Computer Emergence Response Teams) como INCIBE-CERT.

 

Además, es necesario empoderar al consumidor que pudiera estar aturdido por la volatilidad y complejidad de la tecnología, la cual va a tener o querer utilizar de forma ineludible, para darle el control necesario para proteger su privacidad y su seguridad en el uso, por ejemplo, de nuevos dispositivos que puedan ser útiles en aplicaciones del sector como wearables, domótica o vehículos autónomos. De esta forma, el sector se posiciona como un importante agente para la concienciación y sensibilización de los usuarios en un uso «inteligente» de la tecnología, con el apoyo de INCIBE, a través de los servicios de Protege tu Empresa y de la Oficina de Seguridad del Internauta (OSI).

 

El sector tiene ahora el doble desafío de abordar la transformación digital en paralelo a la incorporación de una gobernanza de la ciberseguridad que contemple no solo los tradicionales mecanismos internos de seguridad de las TIC, sino que se extienda a sus proveedores, colaboradores, partners y usuarios. Para ello, es necesario no sólo incorporar en nuestros planes estratégicos la ciberseguridad y la Ciber resiliencia, e integrar la monitorización y la auditoría en el día a día de nuestros negocios, sino también extender nuestros requisitos de seguridad en los acuerdos de nivel de servicio y contratos tecnológicos en nuestro ecosistema, e irradiar concienciación en ciberseguridad a todos los que interactúen con nuestras empresas. Este es el objetivo de la reciente publicación conjunta de INCIBE y SEGITTUR: «Ciberseguridad en el sector del turismo y ocio: Guía de recomendaciones para las empresas», que animamos al lector a descargar, asimilar, aplicar y compartir para elevar la concienciación de empresarios, empleados y usuarios de los servicios del sector.

 

 


 

 






Comentarios

Publicar un comentario

Entradas populares de este blog

E-85 AUTOPISTAS DEL MAR - Una visión histórica

Imagen
    AUTOPISTAS DEL MAR     -  Una visión histórica El Servicio “Autopistas del Mar “ tuvo su origen en Italia, donde a finales de la década de los 90 del siglo pasado, la Naviera Grimaldi estableció una conexión marítima reforzada, diaria entre los puertos de Génova y Civitavecchia, para conectar Milán con Roma y evitar el tráfico por la super saturada y congestionada autopista A-1, cuyos 574 km podían consumir en esa época, hasta 24 horas para los camiones. La ruta era la siguiente : Milán Génova : Autopista A-7 , Génova Civitavecchia : por mar, Civitavecchia – Roma : Autopista A-12 Por motivos comerciales, vendieron el servicio completo como la conexión de 3 autopistas; 2 en tierra y una por mar, la Autostrade del Mare El servicio funcionó hasta 2008, con el comienzo de la crisis económica en Europa fue suspendido, junto con otras servicios MOS similares, que la UE había apoyado desde 2001 1.- El pasado : 1992-2021   En 1992 , la UE publicó el ...
Read more »

E-84 : DIGITALIZACIÓN : Epistemología, Ontología y Taxonomía Digital

Imagen
  E-84 : DIGITALIZACIÓN : Epistemología, Ontología y Taxonomía Digital  Desde comienzos del siglo XXI, las TECNOLOGÍAS DIGITALES forman parte de todas las ecuaciones relacionadas con la gestión, la gobernanza o la administración de empresas, entidades o instituciones publicas y privadas Las Tecnologías Digitales, y su Aplicación denominada Digitalización y en un sentido más amplio TRANSFORMACIÓN DIGITAL en España Industria 4.0 en la UE o 4ª Revolución Industrial en USA, están en la base de todos los procesos de modernización. La Digitalización es el hilo conductor que conecta las distintas fases del desarrollo de las entidades, desde el origen hasta si momento actual. Introducción A1 Tecnologías digitales : una visión general A2 Clasificación de las tecnologías A3 Sector Digital, Economía Digital y Economía Digitalizada A4 Epistemología, Ontología y Taxonomía Digital ...
Read more »

E-2. Escala TRL y el proyecto MARINA DIGITAL 4.0

Imagen
            2. La escala TRL y el proyecto MARINA DIGITAL 4.0 Área del proyecto : Análisis de resultados Tema . Obtener resultados que cumplan los requisitos de TRL-3 Objetivo : Definir las bases de la siguiente propuesta en formato Precomercial   1.- Introducción Puertos-4.0 propone una arquitectura de programa vinculada a la escala TRL, que la UE viene usando desde el anterior Programa Marco de I+D   Horizon 2020, de 2014 -   2020, y en el actual Programa Marco de I+D   Horizon Europe 2021-2027, para definir los objetivos que se piden en cada uno de los proyectos que reciben fondos europeos.   Los niveles de madurez tecnológica , TRLs por sus siglas en inglés - Technological Readiness Level ) son los bloques constitutivos de un método para estimar la madurez de tecnologías . Este concepto fue desarrollado en la NASA durante la década de 1970 para programas espaciales. El uso de TRLs pe...
Read more »