Seguridad hotelera en el mundo digital: cómo prevenir la filtración de datos en tu hotel

Al adquirir tecnologías avanzadas para gestionar tu propiedad y proporcionar el mejor servicio al huésped, ¿te has preguntado alguna vez qué nuevas amenazas se plantean en la seguridad de tu hotel? Hoy en día, la tecnología ayuda a hoteleros en todo el mundo a gestionar las operaciones de tu hotel, optimizar ingresos y mejorar la experiencia del huésped. Estas herramientas tecnológicas aportan más control sobre tu negocio, satisfacción del huésped y rentabilidad. Y no es tan solo el software: las habitaciones han evolucionado incluyendo todo tipo de productos tecnológicos, tales como smart TV, tablets e incluso cortinas controladas por voz, termostatos y luces.

Esta nueva ola de tecnología interconectada, también crea nuevos riesgos y amenazas. Los criminales cibernéticos aprovecharán cualquier debilidad para acceder a sistemas críticos, habitualmente buscando datos sobre los huéspedes e información sobre pagos que pueden ser utilizados o vendidos. 

Durante mi carrera desarrollando estrategias de seguridad tanto en empresas grandes como en empresas más pequeñas, he visto todo tipo de pirateo e intentos de intrusión. Para estar seguro ante estas amenazas en constante evolución, los hoteles deben concretar planes de seguridad. 

He creado algunas pautas útiles para proteger las áreas más vulnerables de tu propiedad, así como un glosario de términos de seguridad y algunas prácticas esenciales para mejorar las defensas de tu hotel en general. ¡Vamos a mejorar la seguridad de tu hotel!

Las tres áreas más vulnerables de los hoteles

Una gran parte de mi anterior rol en seguridad preventiva consistía en los que se llaman «pruebas de intrusión externas», las cuales simulan ataques externos intentando entrar en los sistemas de una empresa a través de internet. Estas pruebas incluyen reconocimiento no técnico, tal como la búsqueda de empleados y localización de oficinas así como investigación técnica, como qué tipos de ordenadores utilizan y qué sistemas tienen conectados a internet. Estos son puntos débiles a los que se enfrentan los hoteles en sus operaciones, mientras los «piratas» investigan personas (no-técnico) y sistemas (técnico). 

¿Dónde enfocarías tus recursos de seguridad para empezar? Aquí están las 3 áreas que son atacadas más habitualmente: 

• Punto de venta (POS por sus siglas en inglés). Al controlar información de pagos desde los puntos de venta, estos se convierten en un objetivo para los criminales cibernéticos. Tal como hemos visto en algunos de los principales ataques en la última década, ganar acceso al sistema de punto de venta de un hotel, permite a los criminales cibernéticos mantenerse inactivos y capturar un flujo continuo de datos de pago.
• Las conexiones (Wi-Fi) inalámbricas. Otro área vulnerable es el wifi de la propiedad. Al ser público, los atacantes pueden sentarse en el lobby (o reservar una habitación) y buscar debilidades con calma. Si la red wifi del hotel no está debidamente asegurada, los atacantes podrían crear un puente desde la red pública de la propiedad hasta la red privada de su oficina. Aún peor, entonces podrían esconderse más para utilizar información útil y/o datos internos de valor, de la propiedad.
• Personal del hotel. El tercer punto más vulnerable en las operaciones de un hotel es el personal. Ya sea el recepcionista, un agente de reservas o un contable, los atacantes ven al personal como oportunidades para la filtración de datos privados y acceso con técnicas engañosas.

 Términos clave definidos para la seguridad del hotel

Los atacantes y criminales cibernéticos utilizan una variedad de métodos para ganar acceso a los sistemas de la empresa. aquí tienes algunas de las herramientas y técnicas que utilizan para ingresar en el hotel y recopilar información útil.

• La ingeniería social engloba cualquier intento de utilizar la confianza humana para conseguir acceso no autorizado a información o sistemas. Algunos ejemplos son: 
  • Llamar a la recepción haciéndose pasar por un compañero, e intentando recuperar una pieza de información perdida que pueda ser combinada con otros datos para entrar en los sistemas de un hotel.
  • Un atacante siguiendo a algún miembro del equipo a través de una puerta cerrada y obteniendo acceso a áreas privadas del hotel. 
• Suplantación de identidad es una forma de ingeniería social, donde alguien crea un email o documento que parece oficial el cual tenta a un empleado a hacer clic en un link o descargar un adjunto que contiene un malware. 
• Spear phishing es una versión de la suplantación de identidad enfocada en objetivos específicos de alto valor, tales como individuos que tienen acceso a información sensible. Los atacantes buscarán compañías e individuos como sujeto de la suplantación de identidad.
• Malware es un malware que infecta un ordenador y permite a los atacantes acceder los sistemas de forma remota, robar datos, e incluso bloquear ordenadores y datos evitando su recuperación.
• Fuerza bruta es cuando un cibercriminal configura un programa para encontrar cualquier tipo de cambio de contraseña, permitiéndoles un acceso «forzado». A menudo, las contraseñas débiles proporcionan un acceso fácil a los atacantes. 
• Relleno de contraseñas es un proceso automatizado donde un atacante utiliza un nombre de usuario y contraseña que haya encontrado previamente y lo reutiliza contra otro sistema. 

Buenas prácticas para la seguridad hotelera 

La gestión de seguridad hotelera consiste en ir dando pasos que al combinarse forman un escudo y capas de protección para prevenir ataques potenciales en lugar de buscar una solución absoluta. En el mundo de la seguridad, a esta técnica la llamamos defensa en profundidad. 

Aquí van algunas de mis recomendaciones para las buenas prácticas en cuanto a seguridad para tu hotel. Ten en cuenta que cada hotel y situación es diferente, y si tienes alguna pregunta acerca de tu situación específica, deberás consultar con profesionales de seguridad, abogados, consultores, etc.   

Una seguridad efectiva es proactiva, no reactiva; con estas prácticas, estarás mejor posicionada para prevenir intrusiones desde el principio.

#1: FORMACIÓN DE SEGURIDAD HOTELERA

En el mundo de la hotelería, siempre estamos tratando de reunir e incluso exceder las expectativas de nuestros huéspedes, ¿verdad? Bueno, algunas veces ese espíritu de ayuda era exactamente lo que necesitaba cuando realizaba evaluaciones de ingeniería social y/o tests de suplantación de identidad. Ante una historia creíble, un empleado puede dar acceso a un ordenador, a información sensible o incluso a la habitación del servidor principal. ! Por tanto, la naturaleza humana es lo más difícil de “asegurar.”

Te recomiendo que incorpores formación sobre seguridad como parte de tu proceso de Onboarding, y también como formación continua. Esto ayudará a que el personal sea más consciente de los problemas de seguridad, y menos susceptible a la ingeniería social e intentos de suplantación de identidad tanto en persona como por teléfono o email.   

• Haz esto: Sigue las 3Cs de la formación en seguridad efectiva para el personal: claro, consistente y constante. La formación debe ser fácil de entender, consistente y repetida regularmente hasta que se convierta en algo natural. Solo se necesita una intrusión para fastidiar la reputación de un hotel por lo que una formación consistente y constante mantiene la seguridad en la conciencia del personal. 
• Además: Enseña al personal a identificar comportamientos sospechosos y a prevenir que personas no autorizadas accedan a la infraestructura física de una propiedad (ordenadores y servidores). Una política de «si ves algo, dí algo», junto con un procedimiento operativo estándar para informar de cualquier actividad sospechosa, puede ser una buena protección contra los ataques. ¡Si tienes dudas, pregunta!

#2: ASEGURA LAS REDES DE TU PROPIEDAD

Una de las vulnerabilidades más frecuentes en los hoteles son las redes Wi-Fi. Esto es porque la red pública normalmente está poco separada de los sistemas de administración clave. Todo lo que un atacante tiene que hacer es reservar una habitación y utilizar tu red para investigar vulnerabilidades, robar datos y espiar huéspedes. 

Si un hotel no tiene la experiencia y conocimiento para implementar las practicas que mencionamos más abajo, debería considerar asociarse con una consultoría de tecnología y/o gestora que sí lo tenga. 

• Haz esto: Las nuevas tecnologías de WiFI y soluciones tienen herramientas integradas para ayudar a prevenir actividad maliciosa. Estas tecnologías, llamadas Sistemas de prevención de intrusiones (SPI), identifican posibles actividades maliciosa y las bloquean automáticamente, sin ninguna intervención humana.  
• Además: Asegúrate de que separas las redes wifi utilizadas por los huéspedes de aquellas para uso interno, así como las de los ordenadores del personal y de la propiedad. Esto puede hacerse físicamente (teniendo dos hardware completamente diferentes) o a través del uso de redes virtuales (VLAN). Las VLAN te permiten utilizar el mismo hardware pero construir otra capa de seguridad entre tu red WiFi y los ordenadores de tu propiedad.  

Además, las redes utilizadas por los huéspedes (con o sin cable) deben mantenerse separadas unas de otras y de cualquier ordenador y redes utilizadas por el personal. Esto evita que los huéspedes puedan incluso conectar un ordenador con otro evitando que el virus o cualquier otra actividad maliciosa se expanda. Esto también evita que los huéspedes puedan escuchar o espiar el tráfico relacionado con el personal. 

#3: SÉ INTELIGENTE ACERCA DE TUS CONTRASEÑAS

Esta medida es sencilla pero fuerte: elige tus contraseñas de forma inteligente y estratégica.

Primero, los estándares de contraseñas de seguridad expuestas por el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés) son cambiantes. En los últimos años, NIST ha tomado una postura de sugerir utilizar contraseñas más largas y más complejas pero sin requerir cambiarlas tan a menudo (o nunca). 

Dicho esto, elegir una contraseña difícil de averiguar, pero fácil de recordar para ti, es la mejor opción. Esta práctica ayudará a tu personal a prevenir que tu personal apunte las contraseñas y las deje en sitios donde alguien (como yo en mi pasado como consultor) pueda encontrarlas y utilizarlas para acceder de forma no autorizada. 

Después, solicita contraseñas únicas para cada acceso. Si usas la misma contraseña para tu cuenta de correo y para otros sistemas (como el software de gestión de tu propiedad), un atacante podría robar tu contraseña y usuario, y después probar las mismas credenciales en tu PMS! 

• Haz esto: Invierte en un gestor digital de contraseñas de manera que tu personal pueda almacenar contraseñas de forma segura en una cámara de seguridad digital encriptada en lugar de escribirlas en papel. 
• Créditos extra: Los gestores de contraseñas te permiten generar contraseñas largas, fuertes y aleatorias y guardarlas de forma segura con el uso de una contraseña maestra y una autenticación de dos factores. Cuando inicies sesión en páginas y servicios, el gestor de contraseñas puede completar automáticamente el nombre de usuario y contraseña por tí. 

Como parte de la formación de seguridad de tu hotel, enseña a tu personal sobre gestores de contraseñas, a generar contraseñas aleatorias y a asegurarlas a través de una contraseña maestra y una autenticación de dos factores. 

Tercero, habilita la autenticación de dos factores cuando sea posible: en cada página, cada sistema, ¡en todas partes!. El autenticación de dos factores es una capa añadida de seguridad que solo garantiza a un usuario acceder a un sistema después de presentar exitosamente otro mecanismo de autenticación con una contraseña tal como: 

• Algo que sabes (contraseña, número PIN, etc.)
• Algo que tienes (llave de seguridad USB, notificaciones en tu teléfono/aparato, código generado por la aplicación de autenticación, etc.)
• Algo que eres (como tus huellas dactilares, rostro ID, etc.)

Incluso si un usuario y contraseña acaban siendo comprometido (por alguna forma de fuerza bruta, phishing, relleno de credenciales, etc.), La autenticación de dos factores protege contra accesos no autorizados a esa cuenta al pedir otra pieza de información, acción, datos, etc. antes de proceder con el inicio de sesión.

#4: ACTUALIZA TU TECNOLOGÍA EN UN INTERVALO RAZONABLE

Puede ser muy caro mejorar la tecnología de una propiedad pero los criminales aman la tecnología anticuada. Ya sean los ordenadores de la oficina como las cerraduras digitales de tu propiedad, la tecnología anticuada se convierte en un objetivo fácil. 

• Haz esto:  Cuando obtengas nueva tecnología, marca una “duración” para que puedas asignar presupuestos para los reemplazos a lo largo del tiempo. De esta forma puedes prevenir e incluir el calendario de reemplazos en tu presupuesto a largo plazo. 
• Además: Mantén todos los ordenadores al día utilizando parches de seguridad proporcionados tanto por el sistema operativo (como Microsoft y Apple), como por cualquier software que hayan podido instalar.

#5: EXAMINA TUS PROVEEDORES DE TECNOLOGÍA CUIDADOSAMENTE

Es esencial que sepas con quien estás negociando. Cuando se trata de la seguridad de tu hotel, eres tan fuerte como nuestro link más débil. Un sistema pobre o débil abre tu propiedad a todo tipo de vulnerabilidades.  

Los hoteles deben asegurarse de que hacen la búsqueda necesaria acerca de los proveedores de tecnología que quieren adquirir. Siempre es bueno tener conversaciones y hacer preguntas sobre seguridad, antes de implementar algo nuevo, mejor que tener un huésped que te pregunte “¿Cómo asegura mis datos personales tu proveedores digital?” y que tu personal no tenga una respuesta para esto.  

• Haz esto: Pregunta a tus proveedores y socios hasta que estés satisfecho con las respuestas. Sugiero que hagas las siguiente preguntas, al menos:

1. 1. ¿Cómo protegerás los datos de tus huéspedes?
   2. ¿Cómo protegerás los datos de mi hotel o propiedad? 
   3. ¿Vendes o monetizas algunos de los datos o información que compartimos contigo?
   4. ¿A qué regulaciones privadas y de seguridad se adhiere tu empresa? 
   5. En el caso de que se filtre información que te hemos confiado (como huéspedes, hotel y propiedad), cómo y cuándo nos informarías?
   6. Si dejamos de usar tus servicios, ¿cuál es tu póliza de retención? ¿Cuándo se borran los datos?  

#6: AISLA LA INFORMACIÓN SENSIBLE

Para combatir a un adversario, ayuda mucho entender cual es su motivación. Para los cibercriminales, generalmente es un tema económico: El informe de investigación de filtración de datos de 2019 de Verizon encontró que el 100 % de las filtraciones en la industria de los alojamientos son por motivos financieros. 

Las empresas de hotelería deben asegurarse de que todos los sistemas informáticos y aplicaciones utilizadas para acceder a información financiera son seguros. Esto incluye especialmente localizaciones donde las propiedades guarden y acepten información financiera, tales como la recepción o el Software de Gestión de la propiedad.   

•  Haz esto: Para cualquier sistema sensible, como aquellos que incluyen información financiera y datos de los huéspedes, utiliza la autenticación de dos factores donde sea posible.
• Además: Protege los datos sensibles de las miradas curiosas. Pon cualquier ordenador, tablet o portátil lejos de las áreas públicas. Además, considera instalar una pantalla de privacidad en el ordenador para prevenir que nadie vea información sensible de tus huéspedes.

Qué hacer si hay una filtración

No soy abogado y, definitivamente, no interpreto a uno en la TV. Por lo tanto, si sospechas de una filtración de datos, debes consultar tanto con un experto en seguridad de datos, como con alguien que tenga experiencia legal en ese área. De esta forma, asegúrate de que cumples con todo lo aplicable a las leyes de protección de datos, regulaciones, y estándares de la industria mientras trabajas diligentemente para cerrar cualquier brecha que pueda ser explotada por los atacantes.

Dicho esto, siempre he creído que la honestidad es la mejor política. Ponte en el lugar de tus clientes: ¿te gustaría alojarte con alguien que te informa proactivamente de una filtración de datos? ¿O preferirías simplemente descubrir que alguien está utilizando tu información personal (como abriendo una cuenta bancaria en tu nombre, haciendo cargos no autorizados en tu tarjeta de crédito, etc.) Es pan comido, protege tu reputación y afronta las filtraciones. 

Desafortunadamente, en la economía de hoy en día, ya no es una cuestión de «y si» sino de «cuándo» se va a enfrentar tu empresa a alguna violación de la seguridad. Y un intento exitoso puede costarte no solo dinero en consultorías y pérdidas de ingresos, sino que también tu reputación tenga un impacto catastrófico. 

Las propiedades de todos los tamaños y todas las categorías deben estar preparados para amenazas que puedan venir de múltiples direcciones y fuentes, incluyendo huéspedes y ciudadanos públicos. Para proteger a tu hotel de intrusiones, tómate el tiempo para prevenir futuros desastres. Un poco de preparación puede prevenir ataques de seguridad y mantener los sistemas de tu hotel (y los datos de tus huéspedes) a salvo.