Ir al contenido principal
main content, press tab to continue
Artículo

Ciberriesgo en el sector turístico: vulnerabilidades de la cadena de suministros

Septiembre 10, 2024

Los ciberdelincuentes aprovechan vulnerabilidades en la cadena de suministro hotelera, aumentando los riesgos de ataques y afectando la reputación.
N/A

El sector turístico está cada vez más digitalizado y es más dependiente de las tecnologías de la información y la comunicación. Y los cibercriminales tienen un conocimiento cada vez más profundo de los procesos e interacciones que se producen en la cadena de suministro de esta industria. La suma de ambos factores tiene un resultado claro: el aumento exponencial de los ciberriesgos en el sector turístico.

Los accesos no autorizados a los sistemas hoteleros, explotando las vulnerabilidades de su cadena, son cada vez más habituales. Esto permite a las organizaciones criminales desarrollar distintos tipos de campañas dirigidas hacia objetivos concretos a lo largo de la cadena de suministro. Es decir, explotar no solo las vulnerabilidades de la empresa objetivo, sino también las que se identifican entre los proveedores de servicios.

Mediante dos casos reales, exploramos cómo una pequeña brecha en el sistema de un proveedor de servicios puede acabar comprometiendo la reputación y el negocio de un establecimiento.

Las principales amenazas del sector hotelero

La transformación digital de los hoteles y sus cadenas de suministro es evidente. Esto ha traído muchas ventajas en términos de negocio y operativa, pero también ha multiplicado los riesgos. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), estas con las principales ciberamenazas del sector hotelero:

  1. Phishing y ataques de ingeniería social. Al igual que sucede en muchos otros sectores, estas son dos de las amenazas de ciberseguridad más comunes. Mediante varias técnicas, los ciberdelincuentes suplantan la identidad de la empresa hotelera o alguno de sus trabajadores para engañar a los usuarios y obtener información privada, como contraseñas. Estos ataques pueden acabar en filtración de datos confidenciales, con las consiguientes sanciones, y afectar a la reputación de la compañía.
  2. Ransomware. El secuestro de datos mediante técnicas de encriptado y la exigencia de un rescate económico para desbloquearlos, más conocido como ransomware, es una amenaza cada vez más habitual en el sector hotelero. Esto puede derivar en la paralización de sistemas digitales críticos, como la gestión de reservas o el bloqueo de terminales de pago, lo que a su vez genera pérdidas de ingresos.
  3. Fugas de datos y brechas de seguridad. Los robos o pérdidas de datos confidenciales (como documentos de identidad o detalles bancarios) y su posterior exposición pueden tener un impacto serio en el sector. Pueden tener consecuencias muy perjudiciales, desde la suplantación de identidad hasta elevadas multas por parte de los agentes reguladores en materia de protección de datos.
  4. Ataques a infraestructuras estratégicas. Además del ransomware, existen otros ataques capaces de bloquear los sistemas estratégicos del sector hotelero, como las plataformas de gestión de reservas. Este tipo de incidentes, como los ataques de denegación de servicio, afectan a la experiencia del cliente, a la reputación de la empresa y a la continuidad del negocio.
  5. Vulnerabilidades en las redes inalámbricas. La oferta de servicios wifi es esencial en los establecimientos hoteleros, pero una mala configuración las convierte en una puerta de entrada para diferentes tipos de ataques como los de man-in-the-middle (el ciberdelincuente se sitúa entre el emisor y el receptor de la información y roba los datos de la transacción) o los de eavesdropping (consistentes en la captura no autorizada del tráfico de la red).

Las vulnerabilidades del sector hotelero: dos casos reales

Durante varias semanas a finales del año pasado, una conocida web de reservas de viajes y alojamientos sufrió un robo de datos importante, que puso en marcha un elaborado sistema de estafa. Mediante un ataque de phishing, los ciberdelincuentes obtuvieron acceso a las bases de datos de varios hoteles y pudieron conseguir información de huéspedes que se habían alojado recientemente en esos establecimientos. Con esos datos, a su vez, lograron suplantar la identidad de esas personas y se pusieron en contacto con los hoteles simulando ser ellas.

En la conversación con el recepcionista, el supuesto huésped indica que ha olvidado un objeto valioso en la habitación y le comunica que le va a enviar un correo electrónico con una fotografía del objeto sustraído para que compruebe si alguien lo ha visto. Cuando el recepcionista abre el documento adjunto activa un malware que se instala en el sistema del hotel y roba automáticamente las contraseñas de inicio de sesión entre el hotel y la plataforma de reservas que había sufrido el ataque en primer lugar.

A partir de ese momento, las posibilidades para la organización criminal se multiplican: acceden al sistema de reservas del hotel y de la plataforma, disponen de los datos de todos los clientes y pueden suplantar la identidad del hotel o de la plataforma. Así, establecen contacto con ciertos huéspedes y les informan de que deben efectuar el pago completo de la habitación para garantizar la reserva. Además de estos ingresos, los ciberdelincuentes venden también las credenciales de acceso en la darkweb, extendiendo el alcance de la brecha de seguridad.

Una vez percibido el sistema del ciberataque, la plataforma llevó a cabo una serie de acciones correctoras como alertar a los usuarios y clientes de que no efectuasen ningún pago requerido y solicitar a los hoteles que cambiasen las claves de acceso al sistema.

Las vulnerabilidades de la cadena de suministros de los hoteles son una puerta habitual para los ciberdelincuentes.

Sin embargo, la estrategia de los ciberdelincuentes no siempre es tan elaborada. Otra plataforma turística muy conocida, centrada en las reseñas de hoteles, restaurantes y experiencias, sufrió un ataque de suplantación de identidad el año pasado que permitió que los criminales instalasen un malware en su sistema. En este caso, los delincuentes enviaban correos electrónicos a hoteles haciéndose pasar por la plataforma en los que informaban de que el establecimiento estaba recibiendo muchas críticas negativas. Para solucionarlo con rapidez, podían contestar a las críticas haciendo clic en un enlace adjunto.

Este link llevaba a una web falsa, pero muy parecida a la original, en la que los responsables de los hoteles podían contestar a las críticas, también falsas. Mientras tanto, la web instalaba un malware en el sistema del hotel que permitía identificar y filtrar contraseñas de inicio de sesión de otras plataformas, así como acceder a bases de datos y a otra información del hotel. Con esto, los ciberdelincuentes podían poner en marcha sistemas de estafa similares al del caso anterior.

En definitiva, la explotación de las vulnerabilidades a lo largo de la cadena de suministros de los hoteles, cada vez más compleja y digitalizada, es una vía de entrada habitual para los ciberdelincuentes. Establecer sistemas de protección, tecnológicos y humanos, que permitan anticiparse a estos incidentes y, en el caso de que sucedan, subsanarlos con rapidez es clave para mantener la continuidad del negocio y no sufrir daños en la reputación del establecimiento.

CIBERRIESGOS

¿Quieres saber más sobre nuestras soluciones de ciberriesgo?

Descubre cómo la gestión estratégica del ciberriesgo facilita la consecución de los objetivos de tu empresa.

Contact us