Tanto los que nos dedicamos a la ciberseguridad como los que no, seguramente tenemos en la memoria el reciente hackeo de la compañía hotelera Marriott, unas de las más importante a nivel mundial, dado el impacto mediático de la noticia. A finales del mes de noviembre del año pasado, nos levantamos un día sabiendo que la multinacional confirmaba el haber sufrido «un acceso no autorizado» a su base de datos de clientes. Estamos hablando de los datos de unos 500 millones de personas.

En concreto, el acceso se produjo a través de la central de reservas de la compañía del grupo Starwood, cadena con la que se fusionó en el año 2016. Los datos accedidos y “exfiltrados” se especula que podrían ser nombres, números de teléfonos, direcciones de email, números de pasaporte, fecha de nacimiento, información de check in y check out, así como números de tarjetas de crédito de los clientes, junto con las fechas de caducidad de las mismas.

Las causas más allá de un posible ataque usando código malicioso por parte de un tercero en los sistemas TI de algunos hoteles, no ha trascendido.

El asunto es que, este macro-hackeo pone de manifiesto una realidad que ya llevaba algunos años siendo evidente para los expertos en ciberseguridad: el sector turístico es un objetivo claro por parte del cibercrimen y la ciberseguridad ha de ser una prioridad para las organizaciones dedicadas al turismo.

Este sector ha sufrido, al igual otras tantas industrias en su momento, lo que yo personalmente denomino, la “democratización” de la ciberseguridad:  El avance imparable de la transformación digital y el uso masivo de tecnología, ha ampliado de manera extraordinaria la “superficie de ataque” de estas entidades, incrementado pues, las probabilidades de ser un objetivo. Plataformas on-line de reservas (accesibles tanto a través de aplicaciones web como de apps móviles), sistemas de análisis masivo de datos de clientes y potenciales clientes, basados en Inteligencia artificial, machine learning y big data, uso masivo del cloud, externalizaciones de numerosos servicios (bien en el proceso de comercialización o gestión de clientes o de otros en la cadena de valor del negocio), automatización mediante IoT del control de acceso a instalaciones y recursos, incremento exponencial de los sistemas de información corporativos así como de dispositivos móviles, interconectividad masiva de sistemas y tecnologías y  un largo etcétera, configuran un blanco muy superior para los atacantes comparado con la infraestructura TI de apenas hace una década.

Ahora bien, ¿por qué el sector turístico puede ser un objetivo? Trataré de aportar luz sobre este asunto:

Por un lado, evidentemente, los ataques indiscriminados como phishing, ransonware, malware, etc. son y serán más frecuentes al haber aumentado el uso de los sistemas de información “a nivel de usuario” siendo también vulnerables a este tipo de ataques

Por otro lado, más allá de ataques más dirigidos con fines “tradicionales”, como puede ser dañar la imagen de la entidad mediante degradación del servicio o mala publicidad en las redes sociales, el robo datos corporativos o de clientes por motivos de espionaje industrial, etc, encontramos unos “nuevos” motivos.

La información que poseen estas organizaciones es la clave: grandes cantidades de datos bancarios y tarjetas de crédito con los que los ciberdelincuentes quieren traficar e intentar posteriormente robar efectivo; cantidades ingentes de datos personales y correos electrónicos para emplearlos en campañas de phishing, blackmailing, suplantación de identidad, fraudes e innumerables usos delictivos; venta de datos de gustos, opiniones y tendencias, etc. para campañas de marketing y estudios de mercado, y muchas más finalidades delictivas…

Adicionalmente, hay incluso otras motivaciones mucho más oscuras, relacionadas con el ciberespionaje, ciberinteligencia y ciberterrorismo el sector turístico. Pensemos que algunas de estas compañías pueden tener información de personalidades relevantes, bien sean “celebrities” o incluso de cargos políticos, gubernamentales, militares, religiosos, altos dignatarios, directivos de grandes corporaciones, etc.

Datos como, por ejemplo: localizaciones y fechas/horarios (país, ciudad, incluso habituación – en qué día u hora), gustos, alergias, aflicciones médicas, datos detallados de sus planes de viaje (avión, limousine, taxis….) y muchos más. Evidentemente el poseer esta información dependiendo de quién acceda a ella, en según qué momento y con qué intenciones, podría llegar a tener implicaciones muy serias en la integridad de las personas e incluso a escala de seguridad global de corporaciones, instituciones e incluso de la seguridad nacional de países enteros.     

A tal efecto, vista la relevancia que puede llegar a tener la ciberseguridad en el sector turístico y toda su cadena de suministro, desde el área de Seguridad de la Información de Auren como expertos en la materia, también ayudamos a asesorar a las organizaciones del sector turístico y a sus proveedores, para analizar, definir e implantar, aquellas medidas preventivas y detectivas en materia de ciberseguridad en sus distintos procesos de negocio y en sus procesos puramente TIC, necesarias en función de su nivel de exposición al riesgo, para tratar de mitigar aquellas amenazas a las que puedan estar sujetas.

José Miguel Cardona Pastor, Socio de Auren Consultores

Josemiguel.cardona@mad.auren.es