Un sector como el de Hospitality, en el que se produce tanto intercambio de datos y de información, la exposición a ciberataques y fraudes es alta.
Así pues, la ciberseguridad es un tema que no podía faltar en #TIS 2020, (Tourism Innovation Summit 2020) que se celebró la semana pasada de forma híbrida, acogiendo Sevilla la parte presencial del evento y estando mayoritariamente los asistentes en remoto debido a la crisis del Covid-19.
Como decíamos, los hoteles en particular y el sector del turismo en general no son ajenos a los ciberataques. Y es que este sector puede ha experimentado ciberataques tan sonados como el sufrido por la cadena hotelera internacional Marriott en 2018 que expuso los datos de más de 300 millones de usuarios, lo que conllevó posteriormente a una multa por violación de la GDPR por casi 100 millones de libras. Este mismo año 2020, Marriott ha vuelto a anunciar una nueva brecha de datos que afectó a entorno 5 millones de usuarios.
Pero los límites no son esos y los ciberdelincuentes son muy creativos. Todos sabemos de la importancia de una red WIFI segura y de la recomendación de no conectarse a redes WIFI púbicas o compartidas como pueden ser las que encontramos en los hoteles.
Otra extraña casuística que podemos encontrar en la relación entre hoteles y ciberseguridad viene provocada por el aumento de los dispositivos conectados a Internet y de la digitalización de los propios hoteles. En este sentido, en 2017 fuimos testigos de un ataque tipo ransomware oculto en una factura que llegó a bloquear las puertas de un hotel en los Alpes austriacos, impidiendo la entrada o salida de los huéspedes en sus habitaciones. Parece ciencia ficción pero es realidad.
Así pues, durante el Tourism Innovation Summit 2020 se reflejó la importancia de la ciberseguridad en el sector, contando con diferentes paneles de expertos que destacaron la importancia de la concienciación en ciberseguridad por parte de los profesionales del sector como una medida preventiva fundamental para blindarse contra el cibercrimen.
En una mesa de las varias mesas redondas sobre ciberseguridad del TIS 2020 moderada por David Rico, Managing Director at CaixaBank Hotel & Tourism, Manuel Prieto, Director de Desarrollo de Negocio de Comercia Global Payments dijo que “a través de los años hemos llegado a 2 conclusiones con respecto a la seguridad del sector hotelero. 1) Lo que se llama la frontera de ataque en un hotel es muy ámplia, es decir, no vale de nada que el hotel esté super securizado si la agencia de marketing no lo está. 2) Todo el personal que gestiona la información importa en la cadena de seguridad. Y es que, la ingeniería social es uno de los ataques más antiguos que aún no se ha resuelto. Hay temas que hay que solucionar. Es decir, debemos recordar que la cadena de seguridad es tan fuerte como lo es su eslabón más débil. En este sentido, podemos educar, instruir e insistir”
Por su parte, Joaquín Chaparro, Director de Canales Bancarios de SegurCaixa Adeslas, comentó que “lógicamente estamos muy acostumbrados a la gestión de riesgos pero claro, estamos acostumbrados a asegurar riesgos muy materiales y no tanto riesgos tan tangibles como los ciberriesgos. Así pues, debemos pensar que no solo podemos tener un ataque en nuestros medios informáticos, sino que este además de afectarnos operativamente, puede tener consecuencias legales.Pero como digo, aunque no nos damos cuenta de estos tipos de riesgos, sus consecuencias son catastróficas. Y cuando hablamos de riesgos, debemos tener en cuenta que muchos de ellos se deben a situaciones inconscientes a dichos riesgos, como por ejemplo cuando descargamos un archivo malicioso pensando que es legítimo. Por ello, lo que debemos hacer es cubrir, cubrir y cubrir.”
En un símil muy práctico, el experto comentó que al igual que cuando ocurre un daño en el hogar, la compañía de seguros se hace cargo del riesgo, lo mismo debe ocurrir y ocurre en el mundo empresarial con la gestión de los riesgos directos e indirectos de los ciberataques.
Por otro lado, David, Vich partner at Garrigues, destacó “el concepto de imprevisibilidad en el contexto de un ciberataque bajo un punto legal de responsabilidad. Por tanto, debemos afrontar el riesgo de la gestión del ciberataque bajo la premisa de que va a suceder y es que si sucede, se va a presuponer que el sector hotelero en este caso, no ha hecho nada para evitarlo. Esto implica que hay que afrontar de una forma proactiva esta gestión del ciberriesgo y ser capaces de acreditar que anteriormente se ha estudiado el riesgo y se han llevado acciones para prevenirlo. También hay que tener en cuenta en esta ecuación, el daño reputacional…”