Expertos en ciberseguridad han analizado este miércoles los aspectos legales, los ciberdelitos más comunes, las claves de la nueva directiva de pagos online (PSD2) o cómo minimizar los riesgos ante posibles ciberamenazas en el sector hotelero, en una jornada organizada por la Oficina de Transformación Digital (OTD) de Ashotel en la sede de la Factoría de Innovación Turística de Canarias (FIT Canarias) y dirigida a empresas del sector.
La jornada, que se emitió en directo a través del canal de Facebook de Ashotel, contó con la bienvenida del gerente de Ashotel, Juan Pablo González, quien recordó la importancia que la patronal hotelera da en los últimos años a la ciberseguridad, que comenzó hace dos años con la organización de HackHotel 2017, el I Congreso de Ciberseguridad Hotelera, que reunió en la capital tinerfeña a centenares de expertos. “Más nos vale que integremos la ciberseguridad en nuestros negocios como eje estratégico”, dijo González, quien añadió que “hay dos tipos de empresas: las que han sufrido un ciberataque y las que lo van a sufrir”. Además, indicó que el hotelero es un sector muy atractivo para la ciberdelincuencia, por el volumen de datos sensibles que maneja.
Del Equipo de Investigación Tecnológica (Edite) de la Comandancia provincial de la Guardia Civil de Santa Cruz de Tenerife, el cabo primero Alberto Jimeno y el guardia civil José Carlos García de la Calle informaron sobre las principales tipologías ciberdelictivas. En primer lugar, explicaron cómo funciona esta unidad de investigación tecnológica y cómo en los últimos años el volumen de trabajo ha crecido notablemente, así como el vínculo estrecho con la justicia para investigar estos delitos.
— Ashotel (@Ashotel) July 26, 2019
Como ciberdelitos más importantes está el phishing (robo de datos, contraseñas o cuentas bancarias a través del engaño mediante envío de correos electrónicos) o los ataques de ransomware (secuestro de datos por los que se pide luego rescate económico).
Entre las medidas de seguridad para evitar los ciberataques destacan un registro adecuado de los datos, copias de seguridad, cifrado de la información, limitar el acceso remoto a los servidores de la empresa, limitar la navegación o contraseñas robustas, entre otras.
Un dato: solo en los dos primeros meses del año 2019 se registraron más ciberdelitos que en todo el año 2014, pero aún el volumen de denuncias no es tan alto
Pagos online PS2D
A continuación, los abogados Daiana Lamela e Iván Afonso, del despacho Écija, especializado en nuevas tecnologías de la información, comentaron los aspectos legales de la transformación digital (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales -LOPDGDD- y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico -LSSICE-), así como la seguridad de los datos y las medidas de control. Además, expusieron las claves de la nueva directiva de pagos online (PSD2), de importancia para los hoteles.
Lamela avanzó de entrada que todos estos delitos cibernéticos parten del uso cada vez más masivo de las nuevas tecnologías de la información, algo que afecta a la automatización de procesos, la digitalización y la comunicación de las empresas. “Hay que tener una actitud abierta al cambio, porque nos vamos quedando atrás frente a otras organizaciones en procesos de digitalización y adaptación a nuevos modelos de negocio, con lo que si es necesario formar a nuestro personal hay que hacerlo”, dijo la abogada, quien añadió la importancia de definir una estrategia digital en las empresas y una correcta implementación de los procesos digitales, teniendo siempre en cuenta la normativa vigente.
Los juristas de Écija comentaron también la nueva normativa PSD2 −la anterior, de 2007, se había quedado desfasada−, para que el sistema de pagos online sea similar en toda Europa. Ésta, que será obligatoria a partir del próximo 14 de septiembre para todos los servicios de pago de la Unión Europea, garantiza pagos más seguros y aumenta la protección a los consumidores, entre otros aspectos. Entre las novedades de esa nueva normativa está la Strong Customer Authentication (SCA) o doble autenticación para cargar el cobro al cliente, a la que estarán obligados bancos y servicios de pago a partir de la citada fecha.
Ciberamenazas e ingeniería social
Finalmente, el director de Information Technology (IT) de la empresa especializada Open Data Security (ODS), Jaime Guimerá, abordó algunos casos reales de ciberamenazas en el sector hotelero y cómo minimizar los riesgos, al tiempo que explicó el concepto de Ingeniería Social, con el fin de que los establecimientos hoteleros tengan toda la información y conozcan los procedimientos y medidas mínimas para evitarlos.
Guimerá hizo un repaso inicial por las diferentes formas del cibercrimen, desde los años 70 con los primeros ataques a redes telefónicas hasta el uso de la inteligencia artificial mediante guerras cibernéticas, con ataques a infraestructuras estatales críticas en un futuro cercano.
El 30% empresas no están preparadas para defenderse contra un ciberataque, dijo Guimerá, que personalmente consideró que ese dato es mayor. Lo que sí está constatado es que los ciberataques crecen cada año y el coste de un incidente es cada vez más elevado. Los sectores de la hostelería, el transporte y los servicios son los más afectados, con el 14% del total de ciberataques, y aseguró que “no hay ningún sector que se libre”. Guimerá informó de 40.000 incidentes registrados en 2018, frente a los 4.000 de 2012, según datos de varias fuentes oficiales recopilados por ODS, lo que demuestra el incremento exponencial que experimenta este tipo de delitos.
¿Por qué el sector hotelero?, se preguntó este experto. Por el volumen de información sensible que se maneja, por sus infraestructuras informáticas vulnerables y por la falta de concienciación. Recordó también que el factor humano está en la causa del 95% de los ciberataques, según datos de IBM de 2014. “La persona es el eslabón más débil, por eso los ciberdelincuentes han puesto las miras en ella y han diseñado lo que se conoce como ingeniería social, ataques que persiguen manipular psicológicamente mediante técnicas de persuasión o intimidación con el fin es acceder a la información que está en manos de esa persona”, explicó.