Teoría: Ciberseguridad y ciberresiliencia: Ciberseguridad y ciberresiliencia en contexto

2. Ciberseguridad y ciberresiliencia en contexto

Ciberseguridad y ciberresiliencia en el turismo

En el contexto del turismo y de los viajes, la digitalización se ha convertido en un fuerte facilitador de los negocios en el mundo digital actual.

La ciberseguridad y la ciberresiliencia son tan importantes como la innovación digital que salvaguardan:

● La innovación digital ha redefinido la experiencia turística y ha provocado una mayor susceptibilidad del turismo a los riesgos de seguridad.

● La ciberseguridad y la ciberresiliencia son herramientas que dan forma al sector y garantizan un futuro más seguro para el sector de las PYMEs del turismo y los viajes.

La tecnología desempeña ahora un papel integral en casi todos los aspectos de la experiencia de los viajes y el turismo, desde inspirar a los turistas durante la fase previa a la compra del viaje del consumidor, hasta dejar opiniones online en la fase posterior a la compra.

Esto implica a menudo transacciones en línea, información confidencial de los clientes, integración en la nube y tecnología de pago digital, lo que ha aumentado la huella digital de las empresas turísticas, exponiéndolas a ciberamenazas y ataques, algunos de los cuales pueden constituir ciberdelincuencia (Paraskevas, 2020).

Fuente: Emmanuel Fesobi, Author at Cyberverdict

Desde 2010 se han registrado varias violaciones de la ciberseguridad, incluso en las mayores cadenas hoteleras del mundo.

Uno de los casos más sonados fue el del Marriott International Hotel Group. Esta cadena hotelera fue responsable de una violación de datos en 2020 al no proteger debidamente los datos personales de sus clientes, revelando así nombres, direcciones postales, números de cuentas de fidelización y otra información sensible.

Aproximadamente 340 millones de huéspedes se vieron afectados por este ataque. 2 años antes, en 2018, Marriott recibió una alerta de una herramienta de seguridad interna sobre un intento de acceso no autorizado en su base de datos de reservas de huéspedes en Estados Unidos. Una investigación posterior realizada por expertos en ciberseguridad reveló que ya en 2014 se había producido un acceso no autorizado al sistema de reservas del hotel (Secure Stay, 2020).

https://gritdaily.com/marriott-hit-by-second-data-breach-2020/

Para saber más al respecto, puedes echar un vistazo al siguiente recurso: For Marriott Hotels, Lightning Does Strike Twice In New Data Breach Affecting 5.2 Million - Grit Daily News (recurso en inglés, puedes usar el traductor de tu navegador para acceder a los contenidos en español).

Como vemos, las repercusiones de las amenazas y/o ataques cibernéticos pueden causar un daño considerable a la reputación de la marca y a la confianza de los consumidores en la misma, lo que se traduce en importantes consecuencias financieras, legales y normativas. Así pues, los proveedores turísticos pueden sufrir tanto pérdidas financieras directas como indirectas (Paraskevas, 2020), algunas de ellas como:

● Pérdidas financieras directas: gastos de la empresa asociados a los servicios de recuperación de IT, así como honorarios legales y servicios de relaciones públicas.

● Pérdidas financieras indirectas: costes de contratación de personal informático técnico adicional, formación del personal en ciberseguridad y ciberresiliencia, actualización de las infraestructuras de ciberseguridad, etc.

● Costes de reputación: si se produce una violación de datos, también hay que tener en cuenta los costes de reputación. Los costes de reputación pueden ser asombrosos y provocar una disminución de la confianza de los consumidores y, consecuentemente, de las ventas o reservas. Los proveedores turísticos deben reconocer su responsabilidad de mantener los datos y la información seguros para evitar impactos negativos sustanciales en su negocio.

Por lo tanto, es crucial que las empresas, especialmente las PYMEs, y profesionales del sector turístico comprendan la importancia de implementar la ciberseguridad y la ciberresiliencia como prioridades para su negocio, en lugar de como una ocurrencia a destiempo.

Desarrollos posteriores al Covid-19

Tras una pandemia mundial que obligó a la industria turística a virar mayoritariamente al entorno online, el sector de los viajes y el turismo tuvo que redefinir sus productos, servicios y experiencias de consumo para hacer frente a la nueva realidad.

En la era posterior a Covid-19, el número de ciberamenazas nunca había sido tan elevado. En este sentido, el Consejo Mundial de Viajes y Turismo (WTTC, 2022) informa de que el crecimiento acelerado de las operaciones digitales ha dejado al sector más vulnerable y expuesto a los riesgos cibernéticos.

Esto ha animado a las empresas a revisar su postura de seguridad para construir una empresa más resistente a los ciberataques, y a implementar soluciones de ciberseguridad y ciberresiliencia en la medida de lo posible.

Fuente: Understanding Digital Forensics: Process, Techniques, and Tools (recurso en inglés, puedes usar el traductor de tu navegador para acceder a los contenidos en español).

Los actores de las ciberamenazas son ágiles y vieron en Covid-19 una oportunidad para explotar las vulnerabilidades de los proveedores turísticos que intentaban facilitar los viajes y, al mismo tiempo, proteger la salud pública. Las continuas e incoherentes restricciones acontecidas durante estos meses crearon un amplio margen para los ciberataques.

Por ejemplo, la adopción del trabajo a distancia, que ha dado lugar a una mayor dependencia de los dispositivos personales y móviles, ha hecho recaer cada vez más en los empleados la responsabilidad de la ciberseguridad de la empresa.

Fuente: Securing remote access grows crucial for DevSecOps | TechTarget (recurso en inglés, puedes usar el traductor de tu navegador para acceder a los contenidos en español)

Aunque los ecosistemas cibernéticos in situ de las grandes empresas suelen ser seguros, hasta ahora esta seguridad no se había extendido a los hogares de los empleados. Como resultado, los atacantes que accedían a las redes Wi-Fi domésticas o públicas podían vulnerar fácilmente los sistemas de la empresa, lo que pone de relieve la necesidad de un enfoque más integral de la ciberseguridad, que haga hincapié en la resiliencia cibernética a todos los niveles.

Aunque las organizaciones no pueden garantizar la seguridad de las redes Wi-Fi domésticas o públicas, en este caso la formación del personal sí puede ayudar a proteger a los empleados contra las amenazas cuando utilizan dispositivos IoT (internet de las cosas, por sus siglas en inglés de Internet of Things).

Las amenazas cibernéticas resultantes de COVID-19 no deben tratarse como independientes del riesgo organizativo, incluidos los riesgos cibernéticos asociados a los modelos de trabajo híbridos.

Por ello, para garantizar la resistencia cibernética, las organizaciones deben ampliar sus esfuerzos de vigilancia de amenazas para abarcar posibles puntos de entrada de ataques a través de sistemas Wi-Fi domésticos y públicos, (Consejo Mundial de Viajes y Turismo y Microsoft, 2022).