El sector turístico maneja gran cantidad de información confidencial y mueve mucho dinero en el mundo y tambien en España por eso sigue siendo objetivo de los ciberdelincuentes.
La ciberseguridad es un tema muy importante para el turismo, ya que el sector turístico maneja una gran cantidad de información confidencial de sus clientes, como datos personales, financieros y de reservas. Además, los sistemas de reservas en línea, los sistemas de pago y las aplicaciones móviles para turistas son vulnerables a ataques cibernéticos.
Para garantizar la ciberseguridad en el sector turístico, es importante que las empresas turísticas implementen medidas de seguridad, como el cifrado de datos, el uso de contraseñas fuertes, la autenticación de dos factores y la capacitación del personal en materia de seguridad cibernética.
Igualmente, las Administraciones Públicas tienen un importante papel a la hora de reforzar las medidas de seguridad en zonas turísticas. En este sentido el Cabildo de Tenerife avanza en la implantación del Plan Director Turístico de Ciberseguridad (PDTC) de la isla, el primero de estas características que adopta un destino español y que permitirá reforzar la ciberseguridad del sector turístico.
Uno de los tipos de ciberataque más comunes en el sector turístico es el spearphishing dirigido a las reservas de los hoteles. En estos ataques, los atacantes estudian previamente a su víctima a través de redes sociales o analizando su sitio web, y luego obtienen el correo electrónico de reservas del hotel. A continuación, efectúan un primer ataque para obtener las credenciales del correo electrónico o bien intervenir las comunicaciones, y finalmente, el atacante se convierte en quien gestiona las peticiones de reservas, cobrando por ellas en una cuenta bancaria propia.
Otro tipo de ataque común es el clonado de webs hoteleras. En este caso, los atacantes realizan una copia exacta o muy parecida de la web de un hotel o cadena de restaurantes. Las víctimas no pueden distinguir la web legítima de la falsificada y realizan reservas o pagos de forma absolutamente normal.
La pandemia ha contribuido a la aparición de nuevos tipos de ataques, como el uso de códigos QR en restaurantes. Los atacantes pueden crear adhesivos con códigos QR falsos y pegarlos encima de los legítimos, llevando a los clientes a una web infectada que permite otras tipologías de ataque a los dispositivos.
También los ataques en la cadena de suministro pueden tener consecuencias devastadoras. Las webs de reservas de cualquier servicio hostelero se conectan a su vez con multitud de intermediarios, lo que puede ser aprovechado por los atacantes para obtener información de clientes a través de cualquiera de estas empresas intermediarias. La denegación de servicio de una empresa intermediaria impacta en toda la cadena de suministro y puede tener graves consecuencias para el negocio.
Ciberataques a empresas turísticas
En los últimos años, ha habido varios ciberataques notables a empresas turísticas que han afectado a millones de clientes en todo el mundo. Algunos de los ciberataques más famosos en el sector turístico son los siguientes:
Marriott International: En 2018, la cadena hotelera Marriott International sufrió un ciberataque que comprometió los datos personales de hasta 500 millones de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono y pasaportes.
British Airways: En 2018, la aerolínea británica British Airways sufrió un ciberataque que afectó a 380,000 clientes, en el que los ciberdelincuentes robaron información personal y financiera de los clientes, como nombres, direcciones y detalles de tarjetas de crédito.
Sabre: En 2017, la empresa de tecnología de viajes Sabre sufrió un ciberataque que comprometió información personal de clientes de varias aerolíneas, incluidas American Airlines, Delta Air Lines y United Airlines.
Hilton Hotels: En 2015, la cadena hotelera Hilton Hotels sufrió un ciberataque que comprometió los datos personales de los clientes, incluidos nombres, direcciones y números de tarjetas de crédito.
Target: Aunque no es una empresa turística, en 2013 la cadena minorista Target sufrió un ciberataque que comprometió los datos personales y financieros de hasta 110 millones de clientes, muchos de los cuales eran turistas que compraban suministros de viaje.
