El Equipo de Investigación Tecnológica (EDITE) de la Guardia Civil en Tenerife, el despacho Écija y Open Data Security abordan las ciberamenazas en el sector hotelero.
La hostelería, el transporte y los servicios acumulan son los sectores que registraron el año pasado el mayor volumen de incidencias, unas 40.000 denunciadas.
Los establecimientos turísticos, en el foco del cibercrimen por el alto volumen de información sensible que manejan.
Expertos en ciberseguridad han analizado hoy los aspectos legales, los ciberdelitos más comunes, las claves de la nueva directiva de pagos online (PSD2) o cómo minimizar los riesgos ante posibles ciberamenazas en el sector hotelero, en una jornada organizada por la Oficina de Transformación Digital (OTD) de Ashotel en la sede de la Factoría de Innovación Turística de Canarias (FIT Canarias) y dirigida a empresas del sector.
La jornada, que se emitió en directo a través del canal de Facebook de Ashotel, contó con la bienvenida del gerente de Ashotel, Juan Pablo González, quien recordó la importancia que la patronal hotelera da en los últimos años a la ciberseguridad, que comenzó hace dos años con la organización de HackHotel 2017, el I Congreso de Ciberseguridad Hotelera, que reunió en la capital tinerfeña a centenares de expertos.
“Más nos vale que integremos la ciberseguridad en nuestros negocios como eje estratégico”, dijo González, quien añadió que “hay dos tipos de empresas: las que han sufrido un ciberataque y las que lo van a sufrir”. Además, indicó que el hotelero es un sector muy atractivo para la ciberdelincuencia, por el volumen de datos sensibles que maneja.
Del Equipo de Investigación Tecnológica (Edite) de la Comandancia provincial de la Guardia Civilde Santa Cruz de Tenerife, el cabo primero Alberto Jimeno y el guardia civil José Carlos Garcíade la Calle informaron sobre las principales tipologías ciberdelictivas.
En primer lugar, explicaron cómo funciona esta unidad de investigación tecnológica y cómo en los últimos años el volumen de trabajo ha crecido notablemente, así como el vínculo estrecho con la justicia para investigar estos delitos.
El impacto del cibercrimen va en aumento. Un dato: solo en los dos primeros meses del año 2019 se registraron más ciberdelitos que en todo el año 2014, pero aún el volumen de denuncias no es tan alto, apuntan los responsables de este equipo, quienes consideran que laconcienciación y la formación es fundamental para la lucha contra estos delitos.
“La gente y las empresas, cuando sufren estos delitos, es cuando se dan cuenta de que hay que invertir en ciberseguridad; es una pequeña inversión a corto y medio plazo, pero que supone a largo plazo una gran ventaja”, dijo Jimeno.
Como ciberdelitos más importantes está el phishing (robo de datos, contraseñas o cuentas bancarias a través del engaño mediante envío de correos electrónicos) o los ataques deransomware (secuestro de datos por los que se pide luego rescate económico).
Entre las medidas de seguridad para evitar los ciberataques destacan un registro adecuado de los datos, copias de seguridad, cifrado de la información, limitar el acceso remoto a los servidores de la empresa, limitar la navegación o contraseñas robustas, entre otras.
Pagos online PS2D
A continuación, los abogados Daiana Lamela e Iván Afonso, del despacho Écija, especializado en nuevas tecnologías de la información, comentaron los aspectos legales de la transformación digital (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales -LOPDGDD- y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico -LSSICE-), así como la seguridad de los datos y las medidas de control. Además, expusieron las claves de la nueva directiva de pagos online (PSD2), de importancia para los hoteles.
Lamela avanzó de entrada que todos estos delitos cibernéticos parten del uso cada vez más masivo de las nuevas tecnologías de la información, algo que afecta a la automatización de procesos, la digitalización y la comunicación de las empresas.
“Hay que tener una actitud abierta al cambio, porque nos vamos quedando atrás frente a otras organizaciones en procesos de digitalización y adaptación a nuevos modelos de negocio, con lo que si es necesario formar a nuestro personal hay que hacerlo”, dijo la abogada, quien añadió la importancia de definir una estrategia digital en las empresas y una correcta implementación de los procesos digitales, teniendo siempre en cuenta la normativa vigente.
Por su parte, Afonso indicó un aspecto común en muchos campos: “La normativa siempre va un paso por detrás de la realidad, pero ya nos hemos dotado de un marco normativo más completo y las empresas están obligadas a cumplir un protocolo de actuación”. 2018 fue un año agitado, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y posterior ley, “de ahí que las organizaciones comenzaran una carrera por estar al día en esta materia”.
Los juristas de Écija comentaron también la nueva normativa PSD2 −la anterior, de 2007, se había quedado desfasada−, para que el sistema de pagos online sea similar en toda Europa. Ésta, que será obligatoria a partir del próximo 14 de septiembre para todos los servicios de pago de la Unión Europea, garantiza pagos más seguros y aumenta la protección a los consumidores, entre otros aspectos. Entre las novedades de esa nueva normativa está la Strong Customer Authentication (SCA) o doble autenticación para cargar el cobro al cliente, a la que estarán obligados bancos y servicios de pago a partir de la citada fecha.
Ciberamenazas e ingeniería social
Finalmente, el director de Information Technology (IT) de la empresa especializada Open Data Security (ODS), Jaime Guimerá, abordó algunos casos reales de ciberamenazas en el sector hotelero y cómo minimizar los riesgos, al tiempo que explicó el concepto de Ingeniería Social, con el fin de que los establecimientos hoteleros tengan toda la información y conozcan los procedimientos y medidas mínimas para evitarlos.
Guimerá hizo un repaso inicial por las diferentes formas del cibercrimen, desde los años 70 con los primeros ataques a redes telefónicas hasta el uso de la inteligencia artificial mediante guerras cibernéticas, con ataques a infraestructuras estatales críticas en un futuro cercano.
El 30% empresas no están preparadas para defenderse contra un ciberataque, dijo Guimerá, que personalmente consideró que ese dato es mayor. Lo que sí está constatado es que los ciberataques crecen cada año y el coste de un incidente es cada vez más elevado. Los sectores de la hostelería, el transporte y los servicios son los más afectados, con el 14% del total de ciberataques, y aseguró que “no hay ningún sector que se libre”. Guimerá informó de 40.000 incidentes registrados en 2018, frente a los 4.000 de 2012, según datos de varias fuentes oficiales recopilados por ODS, lo que demuestra el incremento exponencial que experimenta este tipo de delitos.
¿Por qué el sector hotelero?, se preguntó este experto. Por el volumen de información sensible que se maneja, por sus infraestructuras informáticas vulnerables y por la falta de concienciación. Recordó también que el factor humano está en la causa del 95% de los ciberataques, según datos de IBM de 2014. “La persona es el eslabón más débil, por eso los ciberdelincuentes han puesto las miras en ella y han diseñado lo que se conoce como ingeniería social, ataques que persiguen manipular psicológicamente mediante técnicas de persuasión o intimidación con el fin es acceder a la información que está en manos de esa persona”, explicó.
Sobre la OTD
Ashotel viene trabajando varios meses en este ámbito de la transformación digital, después de que accediera a la convocatoria abierta de subvención como Oficina de Transformación Digital (OTD) de Red.es, empresa pública para el fomento de la economía digital, dependiente del Ministerio de Economía y Empresas, junto a otras 26 entidades en toda España.
Las Oficinas de Transformación Digital puestas en marcha en toda España por el Ministerio de Economía y Empresa, a través de la entidad pública Red.es, cuentan con un presupuesto global de cinco millones de euros.
Las actuaciones son financiadas con cargo al Programa Operativo Plurirregional de España (POPE), Fondos Europeos de Desarrollo Regional (FEDER) del periodo de programación 2014-2020 y bajo el lema ‘Una manera de hacer Europa’ que tiene entre sus objetivos mejorar el uso, la calidad y el acceso a las Tecnologías de la Información y la Comunicación.