Seguridad hotelera en el mundo digital: Cómo prevenir la filtración de datos en tu hotel

By Angela Domenech, mayo 21, 2020

Con la adquisición de tecnología avanzada para gestionar tu propiedad y proporcionar el mejor servicio al huésped, ¿te has preguntado alguna vez el potencial que nuevas amenazas se plantean en la seguridad de tu hotel? Hoy en día, la tecnología ayuda a hoteleros en todo el mundo a gestionar las operaciones de tu hotel, optimizar ingresos y mejorar la experiencia del huésped. Estas herramientas tecnológicas aportan más control sobre tu negocio, satisfacción del huésped y rentabilidad. Y no es tan solo el software: las habitaciones han evolucionado incluyendo todo tipo de productos tecnológicos, tales como smart TVs, tablets e incluso cortinas controladas por voz, termostatos y luces.

Esta nueva ola de tecnología interconectada, también crea nuevos riesgos y amenazas. Los ataques y criminales cibernéticos aprovecharán cualquier debilidad para ganar acceso a sistemas críticos, habitualmente buscando datos sobre los huéspedes e información sobre pagos que pueden ser utilizados o vendidos. 

Durante mi carrera desarrollando estrategias de seguridad tanto en empresas grandes como en empresas más pequeñas, he visto todo tipo de pirateo e intentos de intrusión. Para estar seguro ante estas amenazas en constante evolución, los hoteles deben concretar planes de seguridad. 

He creado algunas pautas útiles para proteger las áreas más vulnerables de tu propiedad, así como un glosario de términos de seguridad y algunas prácticas esenciales para mejorar las defensas de tu hotel en general. ¡Vamos a mejorar la seguridad de tu hotel!

 

Las tres areas más vulnerables de los hoteles

Una gran parte de mi anterior rol en seguridad preventiva consistía en los que se llaman «pruebas de intrusión externas», las cuales simulan ataques externos intentando entrar en los sistemas de una empresa a través de internet. Estas pruebas incluyen reconocimiento no técnico, tal como la búsqueda de empleados y localización de oficinas así como investigación técnica, como qué tipos de ordenadores utilizan y qué sistemas tienen conectados a internet. Estos son puntos débiles a los que se enfrentan los hoteles en sus operaciones, mientras los «piratas» investigan personas (no-técnico) y sistemas (técnico). 

¿Donde enfocarías tus recursos de seguridad para empezar? Aquí están las 3 áreas que son atacadas más habitualmente: 

  • Point-of-sale (POS). Al controlar información de pagos desde los puntos de venta, estos se convierten en un objetivo para los criminales cibernéticos. Tal como hemos visto en algunos de los principales ataques en la última década, ganar acceso al sistema de punto de venta de un hotel, permite a los criminales cibernéticos mantenerse inactivos y capturar un flujo continuo de datos de pago.
  • Las conexiones (Wi-Fi) inalámbricas. Otro área vulnerable es el wifi de la propiedad. Al ser público, los atacantes pueden sentarse en el lobby (o reservar una habitación) y buscar debilidades con calma. Si la red wifi del hotel no está debidamente asegurada, los atacantes podrían crear un puente desde la red pública de la propiedad hasta la red privada de su oficina. Aún peor, entonces podrían esconderse más para utilizar información útil y/o datos internos de valor, de la propiedad.
  • Personal del hotel. El tercer punto más vulnerable en las operaciones de un hotel es el personal. Ya sea el recepcionista, un agente de reservas o un contable, los atacantes ven al personal como oportunidades para la filtración de datos privados y acceso con técnicas engañosas.

 

 Términos clave definidos para la seguridad del hotel

Los atacantes y criminales cibernéticos utilizan una variedad de métodos para ganar acceso a los sistemas de la empresa. aquí tienes algunas de las herramientas y técnicas que utilizan para ingresar en el hotel y recopilar información útil.

  • La ingeniería social engloba cualquier intento de utilizar la confianza humana para conseguir acceso no autorizado a información o sistemas. Algunos ejemplos son: 
    • Llamar a la recepción haciéndose pasar por un compañero, e intentando recuperar una pieza de información perdida que pueda ser combinada con otros datos para entrar en los sistemas de un hotel.
    • Un atacante siguiendo a algún miembro del equipo a través de una puerta cerrada y obteniendo acceso a áreas privadas del hotel. 
  • Suplantación de identidad es una forma de ingeniería social, donde alguien crea un email o documento que parece oficial el cual tenta a un empleado a hacer click en un link o descargar un adjunto que contiene un malware. 
  • Spear phishing es una versión de la suplantación de identidad enfocada en objetivos específicos de alto valor, tales como individuos que tienen acceso a información sensible. Los atacantes buscarán compañías e individuos como sujeto de la suplantación de identidad.
  • Malware es un malware que infecta un ordenador y permite a los atacantes acceder los sistemas de forma remota, robar datos, e incluso bloquear ordenadores y datos evitando su recuperación.
  • Fuerza bruta es cuando un cybercriminal configura un programa para encontrar cualquier tipo de cambio de contraseña, permitiéndoles un acceso «forzado». A menudo, las contraseñas débiles proporcionan un acceso fácil a los atacantes. 
  • Relleno de contraseñas es un proceso automatizado donde un atacante utiliza un nombre de usuario y contraseña que haya encontrado previamente y lo reutiliza contra otro sistema. 

 

Buenas prácticas para la seguridad hotelera 

La gestión de seguridad hotelera consiste en ir dando pasos que al combinarse forman un escudo y capas de protección para prevenir ataques potenciales en lugar de buscar una solución absoluta. En el mundo de la seguridad, a esta técnica la llamamos defensa en profundidad. 

Aquí van algunas de mis recomendaciones para las buenas prácticas en cuanto a seguridad para tu hotel. Ten en cuenta que cada hotel y situación es diferente, y si tienes alguna pregunta acerca de tu situación específica, deberás consultar con profesionales de seguridad, abogados, consultores, etc.   

Effective security is proactive, not reactive; with these best practices in place, you’ll be better positioned to prevent intrusions in the first place!

#1: HOTEL SECURITY TRAINING

In the hospitality world, we’re always trying to meet – and even exceed – our guest’s expectations, right?  Well, sometimes that spirit of helpfulness was exactly what I needed when performing social engineering assessments and/or phishing tests. When given a believable story, a helpful employee might have been willing to give me access to a computer, give me sensitive information or even the main computer/server room! That said, human nature is the hardest thing to “secure.”

I recommend that you incorporate security awareness training as part of your onboarding, as well as ongoing training. This will help make staff more aware of security-related concepts and issues, and less susceptible to social engineering and phishing attempts, whether in person, via phone, or through email.  

  • Do this: Follow the 3Cs of effective hotel security training for staff: Clear, consistent, constant. The training must be easy to understand, it must be consistent and it must be repeated regularly until it becomes second nature. It only takes one intrusion to deliver a major blow to a hotel’s reputation, so clear, consistent and constant training keeps security top-of-mind with staff. 
  • Also this: Teach staff to identify suspicious behavior and prevent unauthorized persons from gaining access to any physical infrastructure (computers, servers) on property. A “see something, say something” policy, coupled with a standard operating procedure to report any suspicious activity, can be a major protection against attackers. When in doubt, ask!

 

#2: SECURE YOUR ON-PROPERTY NETWORKS

One of the most frequent vulnerabilities for hotels is within the public Wi-Fi network. That’s because the public network is all-too-often thinly separated from critical back-office systems.  All an attacker has to do is book a room and use your network to probe for vulnerabilities, steal data and spy on guests. 

If a hotel does not have the in-house expertise to implement the practices below, then they should consider partnering with an IT consulting and/or management firm that does. 

 

  • Do this: Newer Wi-Fi technologies and solutions have tools built in to help prevent malicious activity. These technologies, called Intrusion Prevention Systems (IPS), identify potentially malicious activities and automatically block them, all without human intervention. 
  • Also this: Make sure you separate wireless networks used by guests from those for internal use, such as by staff and/or property computer systems. This can be done either physically (by having two completely separate sets of hardware) or through the use of virtual networks (VLANs). VLANs allow you to use the same hardware but build in another layer of security between your Wi-Fi network and your property’s computers.  

 

Additionally, any networks used by guests (wired or wireless) should keep guest devices isolated both from each other and any computer systems and networks used by staff. This prevents one guest computer from even being able to contact another, and thus prevents the spread of malware or other malicious activity. This also prevents guests from being able to listen in/snoop on any staff-related traffic. 

 

#3: BE SMART ABOUT YOUR PASSWORDS

This one is simple-yet-powerful: choose your passwords wisely and strategically.

First, password security standards set forth by the National Institute of Standard and Technology (NIST) are ever-changing. In recent years, NIST has taken a stance to suggest using longer, more complex passwords, but not requiring passwords to change as often (or even at all). 

That said, choosing a password that’s hard for an unauthorized party to guess and easy for you to remember is the suggestion here. This practice will help prevent your hotel staff from writing passwords down and leaving them places where someone (like me in my consulting past) could find and use them to gain unauthorized access! 

Secondly, require unique passwords for each login. If you use the same password for your email account as you do other systems (such as your Property Management System), an attacker could phish/steal your email username and password, and then try the same credentials on your PMS! 

 

  • Do this: Invest in a digital password manager so that staff can store passwords securely in an encrypted digital vault instead of writing them down on paper. 
  • Extra credit: Password managers allow you to generate long, strong, random passwords and securely store them by use of a master password and multi-factor authentication. When logging into sites/services, the password manager can then automatically fill in your usernames/passwords for you. 

 

As part of your hotel security awareness training, teach your staff about password managers, generating random passwords, and securing them via master password and Multi-Factor Authentication. 

Third, enable Multi-Factor Authentication (MFA) wherever possible: on every site, every system, everywhere! MFA, also known as Two-Factor Authentication (2FA) is an added layer of security that only grants a user access to a system after successfully presenting another authentication mechanism along with a password, such as: 

  • Something you know (password, PIN number, etc.)
  • Something you have (USB security key, push notification to phone/device, code generated via Authenticator app, etc.)
  • Something you are (biometrics such as fingerprint, Face ID, etc.)

Even if a username and password becomes compromised (by way of phishing, brute force, credential stuffing, etc.), Multi-Factor Authentication protects against unauthorized access to that account by requiring another piece of information, action, data, etc. in order to proceed with login.

blog security post image 1250 x x 1

#4: UPDATE TECHNOLOGY AT A REASONABLE INTERVAL

It can get very expensive to upgrade a property’s technology, but cybercriminals love outdated technology! Whether it’s the computers in the back office or your property’s digital locks, older hardware running outdated software become easy targets. 

 

  • Do this:  Whenever you procure new technology, set a “shelf life” so that you can budget for replacements over time. That way you set expectations and can factor your replacement schedule into your longer-term budgeting. 
  • Also this: Keep all computers up to date using the latest security patches provided by both the operating system vendor (Microsoft, Apple, etc.), as well as any software they might have installed.

 

#5: VET TECH PARTNERS AND VENDORS CAREFULLY

It’s essential that you know who you’re doing business with. When it comes to hotel security, you’re only as strong as our weakest link. A poor or weak system opens your property up to all kinds of vulnerabilities. 

Hotels should ensure they do their research on the smart technology vendors and/or companies they are looking to buy from. It’s always good to have conversations and ask questions about security before you implement something new, rather than having a guest ask “How does your digital key vendor secure my personal data?” and you as the hotelier have no answer for this.  

 

  • Do this: Question your tech vendors and partners until you’re satisfied with their answers. I suggest asking the following questions, at a minimum:
    1. How are you protecting the data of our guests? 
    2. How are you protecting my hotel/property data? 
    3. Do you sell or monetize any of the data or information we share with you?
    4. What security and/or privacy regulations does your company adhere to? 
    5. In the event of a data breach of any information we entrust to you (guest, hotel/property, etc.), how and when would you report this to us? 
    6. If we stop using your services, what is your data retention policy? When is data deleted? 

 

#6: ISOLATE SENSITIVE INFORMATION

When fighting an adversary, it’s helpful to understand their motivations. For cybercriminals, it’s pretty much all financial: Verizon’s 2019 Data Breach Investigation Report found that 100% of breaches in the accommodation industry were financially motivated!  

Hotels and hospitality management companies should ensure they secure all computer systems and applications used for accessing financial information. This especially includes locations where properties might be holding and accepting financial information, such as at the front desk or in their Property Management System.    

  •  Do this: For any sensitive systems, such as those that include financial information and/or guest data, use multi-factor authentication wherever possible.
  • Also this: Protect sensitive data from prying eyes. Face any computer, tablet or laptop away from public areas. Additionally, consider installing a computer privacy screen to help prevent someone from being able to see sensitive guest data/information.

 

What to do in the event of a breach

I’m not an attorney – and I definitely don’t even play one on TV! So, if you suspect a data breach, you should consult with both a data security expert and someone who has legal expertise in this area. That way you can ensure you comply with all applicable data protection laws, regulations, and industry standards while also working diligently to close any gaps exploited by attackers.

That said, I have always firmly believed that honesty is the best policy. Put yourself in the guests’ shoes: would you rather stay with a brand that’s proactive and notifies you of a (potential) breach? Or would you rather find out by someone misusing your personal information (such as opening a bank account in your name, making unauthorized charges on your credit card, etc.) It’s a no-brainer – protect your reputation and get in front of any breaches. 

 

Unfortunately, in today’s digital economy, it’s no longer a question of if but when your company will face some sort of security breach. And a successful attempt can not only cost you money in consulting fees and lost revenue, but the public relations hit to your reputation can also be catastrophic. 

Properties of all sizes and across all categories must be prepared for threats coming from multiple directions and sources, including guests, staff or public citizens. To protect your hotel from unwanted intrusions, take time today to prevent future disasters. A little preparation goes a long way in preventing security attacks and keeping your hotel’s systems (and your guest data!) safe and secure.

Usted también puede estar interesado en...

4 Plantillas de Email Para Crear Mejores Relaciones con tus huéspedes

El email es la mejor forma de mantenerte conectado con tus huéspedes antes, durante y después de su estancia. También […]

¿Qué es la Gestión de Canales con un Channel Manager?

Una distribución efectiva es clave para un negocio hotelero rentable. Tanto si gestionas un hotel independiente, un bed and breakfast, […]

Ponemos $82 millones a trabajar para vosotros, nuestros clientes

Hace casi una década, Cloudbeds era tan solo una idea que surgió mientras viajábamos por Brasil e intentábamos reservar un […]

Guerra de precios hoteleros y competencia a la baja: Cómo evitar la bajada de precios en 4 sencillos pasos

Vayamos directos al grano: STR y Tourism Economics han reducido recientemente su RevPAR (ingresos por habitación disponible) del 1.6% en […]

Mejor juntos

A Cloudbeds le encanta ayudar a los hoteleros y anfitriones
a hacer crecer su negocio. Permítanos mostrarle cómo.

Agende Su Llamada