Tanto los que nos dedicamos a la ciberseguridad como los que no, seguramente tenemos en la memoria el reciente hackeo de la compa\u00f1\u00eda hotelera Marriott, unas de las m\u00e1s importante a nivel mundial, dado el impacto medi\u00e1tico de la noticia. A finales del mes de noviembre del a\u00f1o pasado, nos levantamos un d\u00eda sabiendo que la multinacional confirmaba el haber sufrido \u00abun acceso no autorizado\u00bb a su base de datos de clientes. Estamos hablando de los datos de unos 500 millones de personas.<\/p>\n
En concreto, el acceso se produjo a trav\u00e9s de la central de reservas de la compa\u00f1\u00eda del grupo Starwood, cadena con la que se fusion\u00f3 en el a\u00f1o 2016. Los datos accedidos y \u201cexfiltrados\u201d se especula que podr\u00edan ser nombres, n\u00fameros de tel\u00e9fonos, direcciones de email, n\u00fameros de pasaporte, fecha de nacimiento, informaci\u00f3n de check in<\/em> y check out<\/em>, as\u00ed como n\u00fameros de tarjetas de cr\u00e9dito de los clientes, junto con las fechas de caducidad de las mismas. <\/p>\n Las causas m\u00e1s all\u00e1 de un posible ataque usando c\u00f3digo malicioso por parte de un tercero en los sistemas TI de algunos hoteles, no ha trascendido. <\/p>\n El asunto es que, este macro-hackeo<\/em> pone de manifiesto una realidad que ya llevaba algunos a\u00f1os siendo evidente para los expertos en ciberseguridad: el sector tur\u00edstico es un objetivo claro por parte del cibercrimen y la ciberseguridad ha de ser una prioridad para las organizaciones dedicadas al turismo. <\/p>\n Este sector ha sufrido, al igual otras tantas industrias en su momento, lo que yo personalmente denomino, la \u201cdemocratizaci\u00f3n\u201d de la ciberseguridad: El avance imparable de la transformaci\u00f3n digital y el uso masivo de tecnolog\u00eda, ha ampliado de manera extraordinaria la \u201csuperficie de ataque\u201d de estas entidades, incrementado pues, las probabilidades de ser un objetivo. Plataformas on-line de reservas (accesibles tanto a trav\u00e9s de aplicaciones web como de apps m\u00f3viles), sistemas de an\u00e1lisis masivo de datos de clientes y potenciales clientes, basados en Inteligencia artificial, machine learning y big data, uso masivo del cloud, externalizaciones de numerosos servicios (bien en el proceso de comercializaci\u00f3n o gesti\u00f3n de clientes o de otros en la cadena de valor del negocio), automatizaci\u00f3n mediante IoT del control de acceso a instalaciones y recursos, incremento exponencial de los sistemas de informaci\u00f3n corporativos as\u00ed como de dispositivos m\u00f3viles, interconectividad masiva de sistemas y tecnolog\u00edas y un largo etc\u00e9tera, configuran un blanco muy superior para los atacantes comparado con la infraestructura TI de apenas hace una d\u00e9cada. <\/p>\n Ahora bien, \u00bfpor qu\u00e9 el sector tur\u00edstico puede ser un objetivo? Tratar\u00e9 de aportar luz sobre este asunto: <\/p>\n Por un lado, evidentemente, los ataques indiscriminados como phishing, ransonware, malware, etc. son y ser\u00e1n m\u00e1s frecuentes al haber aumentado el uso de los sistemas de informaci\u00f3n \u201ca nivel de usuario\u201d siendo tambi\u00e9n vulnerables a este tipo de ataques <\/p>\n Por otro lado, m\u00e1s all\u00e1 de ataques m\u00e1s dirigidos con fines \u201ctradicionales\u201d, como puede ser da\u00f1ar la imagen de la entidad mediante degradaci\u00f3n del servicio o mala publicidad en las redes sociales, el robo datos corporativos o de clientes por motivos de espionaje industrial, etc, encontramos unos \u201cnuevos\u201d motivos. <\/p>\n La informaci\u00f3n que poseen estas organizaciones es la clave: grandes cantidades de datos bancarios y tarjetas de cr\u00e9dito con los que los ciberdelincuentes quieren traficar e intentar posteriormente robar efectivo; cantidades ingentes de datos personales y correos electr\u00f3nicos para emplearlos en campa\u00f1as de phishing, blackmailing, suplantaci\u00f3n de identidad, fraudes e innumerables usos delictivos; venta de datos de gustos, opiniones y tendencias, etc. para campa\u00f1as de marketing y estudios de mercado, y muchas m\u00e1s finalidades delictivas… <\/p>\n Adicionalmente, hay incluso otras motivaciones mucho m\u00e1s oscuras, relacionadas con el ciberespionaje, ciberinteligencia y ciberterrorismo el sector tur\u00edstico. Pensemos que algunas de estas compa\u00f1\u00edas pueden tener informaci\u00f3n de personalidades relevantes, bien sean \u201ccelebrities\u201d o incluso de cargos pol\u00edticos, gubernamentales, militares, religiosos, altos dignatarios, directivos de grandes corporaciones, etc. <\/p>\n Datos como, por ejemplo: localizaciones y fechas\/horarios (pa\u00eds, ciudad, incluso habituaci\u00f3n \u2013 en qu\u00e9 d\u00eda u hora), gustos, alergias, aflicciones m\u00e9dicas, datos detallados de sus planes de viaje (avi\u00f3n, limousine<\/em>, taxis….) y muchos m\u00e1s. Evidentemente el poseer esta informaci\u00f3n dependiendo de qui\u00e9n acceda a ella, en seg\u00fan qu\u00e9 momento y con qu\u00e9 intenciones, podr\u00eda llegar a tener implicaciones muy serias en la integridad de las personas e incluso a escala de seguridad global de corporaciones, instituciones e incluso de la seguridad nacional de pa\u00edses enteros. <\/p>\n A tal efecto, vista la relevancia que puede llegar a tener la ciberseguridad en el sector tur\u00edstico y toda su cadena de suministro, desde el \u00e1rea de Seguridad de la Informaci\u00f3n de Auren como expertos en la materia, tambi\u00e9n ayudamos a asesorar a las organizaciones del sector tur\u00edstico y a sus proveedores, para analizar, definir e implantar, aquellas medidas preventivas y detectivas en materia de ciberseguridad en sus distintos procesos de negocio y en sus procesos puramente TIC, necesarias en funci\u00f3n de su nivel de exposici\u00f3n al riesgo, para tratar de mitigar aquellas amenazas a las que puedan estar sujetas.<\/p>\n Jos\u00e9 Miguel Cardona Pastor, <\/b>Socio <\/b>de Auren Consultores<\/b> <\/p>\n