El sector turístico está cada vez más digitalizado y es más dependiente de las tecnologías de la información y la comunicación. Y los cibercriminales tienen un conocimiento cada vez más profundo de los procesos e interacciones que se producen en la cadena de suministro de esta industria. La suma de ambos factores tiene un resultado claro: el aumento exponencial de los ciberriesgos en el sector turístico.
Los accesos no autorizados a los sistemas hoteleros, explotando las vulnerabilidades de su cadena, son cada vez más habituales. Esto permite a las organizaciones criminales desarrollar distintos tipos de campañas dirigidas hacia objetivos concretos a lo largo de la cadena de suministro. Es decir, explotar no solo las vulnerabilidades de la empresa objetivo, sino también las que se identifican entre los proveedores de servicios.
Mediante dos casos reales, exploramos cómo una pequeña brecha en el sistema de un proveedor de servicios puede acabar comprometiendo la reputación y el negocio de un establecimiento.
La transformación digital de los hoteles y sus cadenas de suministro es evidente. Esto ha traído muchas ventajas en términos de negocio y operativa, pero también ha multiplicado los riesgos. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), estas con las principales ciberamenazas del sector hotelero:
Durante varias semanas a finales del año pasado, una conocida web de reservas de viajes y alojamientos sufrió un robo de datos importante, que puso en marcha un elaborado sistema de estafa. Mediante un ataque de phishing, los ciberdelincuentes obtuvieron acceso a las bases de datos de varios hoteles y pudieron conseguir información de huéspedes que se habían alojado recientemente en esos establecimientos. Con esos datos, a su vez, lograron suplantar la identidad de esas personas y se pusieron en contacto con los hoteles simulando ser ellas.
En la conversación con el recepcionista, el supuesto huésped indica que ha olvidado un objeto valioso en la habitación y le comunica que le va a enviar un correo electrónico con una fotografía del objeto sustraído para que compruebe si alguien lo ha visto. Cuando el recepcionista abre el documento adjunto activa un malware que se instala en el sistema del hotel y roba automáticamente las contraseñas de inicio de sesión entre el hotel y la plataforma de reservas que había sufrido el ataque en primer lugar.
A partir de ese momento, las posibilidades para la organización criminal se multiplican: acceden al sistema de reservas del hotel y de la plataforma, disponen de los datos de todos los clientes y pueden suplantar la identidad del hotel o de la plataforma. Así, establecen contacto con ciertos huéspedes y les informan de que deben efectuar el pago completo de la habitación para garantizar la reserva. Además de estos ingresos, los ciberdelincuentes venden también las credenciales de acceso en la darkweb, extendiendo el alcance de la brecha de seguridad.
Una vez percibido el sistema del ciberataque, la plataforma llevó a cabo una serie de acciones correctoras como alertar a los usuarios y clientes de que no efectuasen ningún pago requerido y solicitar a los hoteles que cambiasen las claves de acceso al sistema.
Las vulnerabilidades de la cadena de suministros de los hoteles son una puerta habitual para los ciberdelincuentes.
Sin embargo, la estrategia de los ciberdelincuentes no siempre es tan elaborada. Otra plataforma turística muy conocida, centrada en las reseñas de hoteles, restaurantes y experiencias, sufrió un ataque de suplantación de identidad el año pasado que permitió que los criminales instalasen un malware en su sistema. En este caso, los delincuentes enviaban correos electrónicos a hoteles haciéndose pasar por la plataforma en los que informaban de que el establecimiento estaba recibiendo muchas críticas negativas. Para solucionarlo con rapidez, podían contestar a las críticas haciendo clic en un enlace adjunto.
Este link llevaba a una web falsa, pero muy parecida a la original, en la que los responsables de los hoteles podían contestar a las críticas, también falsas. Mientras tanto, la web instalaba un malware en el sistema del hotel que permitía identificar y filtrar contraseñas de inicio de sesión de otras plataformas, así como acceder a bases de datos y a otra información del hotel. Con esto, los ciberdelincuentes podían poner en marcha sistemas de estafa similares al del caso anterior.
En definitiva, la explotación de las vulnerabilidades a lo largo de la cadena de suministros de los hoteles, cada vez más compleja y digitalizada, es una vía de entrada habitual para los ciberdelincuentes. Establecer sistemas de protección, tecnológicos y humanos, que permitan anticiparse a estos incidentes y, en el caso de que sucedan, subsanarlos con rapidez es clave para mantener la continuidad del negocio y no sufrir daños en la reputación del establecimiento.