En mi artículo ¡ El Ciberhoteleiro Viene De Allí! , Prometí abordar los temas de continuidad del negocio, seguridad y privacidad en el ámbito de la ciberseguridad. Incluso tengo miedo de que a estas alturas me llamen “El paranoico de turno”. No porque quieran menospreciarme a mí o a otros que, como yo, padecen esta condición clínica, sino porque parece corresponder a un comportamiento caracterizado por la paranoia, con un patrón invasivo de desconfianza y sospecha generalizada hacia los demás, interpretando sus intenciones como malévolas. (Les advierto que este artículo va a ser largo. Sólo intento ayudar a nuestros ciberhoteleros a lidiar mejor con una situación cada vez más común).

Imagina entonces que estás en el pico de tu temporada hotelera y que (debido al excelente trabajo realizado) tu magnífica unidad hotelera se encuentra completamente ocupada. Sin previo aviso, tus invitados ya no pueden acceder a sus habitaciones porque las cerraduras electrónicas no funcionan, tu sistema de gestión y reservas está bloqueado y aparece un mensaje exigiendo el pago de una cantidad para desbloquear la situación.

Parece absurdo, ¿verdad? No, no es absurdo. ¡Es una realidad!

El pasado mes de enero tuvo lugar en el Romantik Seehotel Jaegerwirt, en Austria, un hotel de cuatro estrellas junto a un lago en los Alpes. Tras pagar 1.500,00 € a los ciberdelincuentes, su director decidió hacer público el caso .

LA AMENAZA

Si bien este puede ser, a primera vista, un caso típico de Ransomware , lo que lo hace diferente es que bien puede ser el primer caso documentado de Ransomware of Things (RoT), también conocido como Jackware . Estos términos se utilizan cuando se intenta clasificar el malware que se dirige a dispositivos de Internet de las cosas (IoT), exigiendo una cierta cantidad para "rescatar" los dispositivos y restaurar su funcionamiento normal. Con cada vez más 'cosas' conectadas a Internet, este es un vector de ataque en crecimiento .

Sin embargo, en cualquier caso, todo esto entra en la misma categoría y es necesario empezar por entender que lo que es una amenaza para unos es un negocio para otros .

En los últimos tiempos, los ciberdelincuentes han logrado infectar millones de computadoras, extorsionando a sus usuarios y permitiendo que el ransomware alcance nuevos niveles de madurez y amenaza, con estos grupos del crimen organizado impulsados ​​por una moderna "fiebre del oro".

‍

En este punto se detectó un cambio de comportamiento, pasando de un ataque indiscriminado a un ataque dirigido a instituciones y empresas con objetivos precisos, denotando un saber hacer y una técnica con características de ciberespionaje .

Por otro lado, algunos de estos grupos todavía ofrecen ransomware como servicio (RaaS), ampliando su base de ingresos a otros delincuentes que, con pocos conocimientos técnicos, quieren entrar en el "negocio", un negocio que el FBI estima que habrá producido. miles de millones de dólares a grupos de ciberdelincuentes, y el valor medio por "rescate" se duplicó en sólo dos años.

También es importante abordar los vectores de ataque (la forma en que la infección llega a su objetivo) que, al igual que la actividad misma, han evolucionado.

El más conocido y quizás el que los hoteleros reconocen más fácilmente es el correo electrónico malicioso, que suele contener archivos adjuntos que, una vez abiertos, liberan la infección y dejan la máquina a merced del atacante. Por supuesto, los atacantes intentan que estos correos electrónicos parezcan lo más legítimos posible, y es habitual encontrar referencias a facturas impagas, pedidos de envío o solicitudes de confirmación de datos de una determinada cuenta. Afortunadamente, gran parte está escrita en inglés y, solo por diversión, te sugiero que pruebes tus habilidades para identificar correos electrónicos maliciosos aquí .

‍

Todavía hay quien se atreve a probar el portugués, y la mayoría se detectan fácilmente en función de la calidad semántica (o falta de ella) o de la ortografía utilizada. Sin embargo, prestad mucha atención porque últimamente han circulado algunos muy bien 'ensamblados' y escritos en buen portugués.

‍

Otro vector de ataque utilizado son los Exploit Kits o kits de explotación de vulnerabilidades (EK), en los que los atacantes aprovechan las vulnerabilidades de los servidores o aplicaciones para inyectar estas 'armas' que les permiten, por ejemplo, insertar enlaces falsos en correos electrónicos, publicaciones en redes sociales o en publicidad web y redirigir el tráfico a sitios web falsos distribuyendo así su contenido malicioso.

Aún quedan unos cuantos vectores de ataque más, que empiezan a ser abandonados en detrimento del que se piensa tendrá un rápido crecimiento durante 2017, como vector y plataforma de ataque: el dispositivo IoT (internet de las cosas), es decir, dispositivos conectados a Internet. Entre coches, móviles, circuitos CCTV, smartTV, sistemas HAVAC, frigoríficos y lavadoras, etc., hemos asistido recientemente, ya sea a través de la presentación de pruebas de concepto o en casos reales, al uso de estas plataformas IoT para llevar a cabo ataques. . Sin embargo, el bajo nivel de seguridad de estas plataformas crea las condiciones para una tormenta perfecta en los próximos años, que permitirá a los ciberdelincuentes difundir fácilmente su "contenido" o coordinar ataques a gran escala .

EL SECUESTRO DEL HOTEL

Volviendo a nuestro ejemplo austriaco, analicemos las opciones y decisiones que tuvo que afrontar su director.

Probablemente empezaste considerando contratar una empresa de ciberseguridad para responder y mitigar la situación restableciendo la operación, pero rápidamente te diste cuenta de que sería mucho más costoso que pagar el rescate. Es posible que entonces hayas considerado reemplazar los sistemas, una opción que nuevamente sería mucho más costosa que pagar el rescate, además de no ser rápida de implementar. Dada la realidad de los hechos, la solución más eficiente era pagar el rescate y esta será la realidad futura si las cosas no cambian y los ciberdelincuentes se dan cuenta de que pueden extorsionar mucho dinero con ello.

Seamos prácticos: el ransomware no es algo nuevo en la Industria Hotelera, donde he visto algunos casos donde la pérdida fue prácticamente total. Sin embargo, hasta ahora el objetivo eran los datos y en este caso pueden existir copias de seguridad. Con el Ransomware de las Cosas el objetivo pasa a ser paralizar un equipo o sistema hasta que se pague el rescate, lo que - en el caso de las empresas - supone detener un negocio, y en el caso de la Hostelería sabemos lo que eso significa. Por lo tanto, pagar puede ser una opción perfectamente comprensible: si para recuperar millones de ingresos tengo que pagar unos cientos de miles, todos empezamos a preguntarnos si no sería más lógico pagar el rescate.

MEDIDAS DE PREVENCIÓN

Espero haber conseguido a estas alturas transmitir la idea de que las tarjetas de crédito no son el único riesgo y que es necesaria una cultura de ciberseguridad en los hoteles . Para mí, la pregunta aquí es ¿con quién prefiere hacer 'negocios': los ciberdelincuentes o las empresas?

‍

‍

Por supuesto, en algún momento se puede llegar a la conclusión de que pagar es una forma de 'solucionar' la situación, pero hacerlo porque no se tuvieron en cuenta los riesgos y no se invirtió dinero y tiempo en la seguridad de los sistemas de la unidad. hotel y, en consecuencia, sus sistemas, empleados y huéspedes, es perpetuar la situación.

Un entorno seguro, ya sea físico o digital, depende principalmente de las personas . Como este es un componente esencial para prevenir y detectar amenazas, es necesario capacitar, capacitar y capacitar a los empleados de su unidad hotelera .

‍

La seguridad informática en un hotel debe tener una estrategia y objetivos concretos, y debe existir un análisis de riesgos para cada uno de los componentes tecnológicos a considerar. Por tanto, para prevenir y detectar, sea cual sea, pasa primero por pensarlo, definirlo y aplicarlo .

‍

Cuando ya existe una estrategia, objetivos y política definida para los sistemas de información, entonces queda aplicar la tecnología teniendo en cuenta lo definido y los riesgos asociados.

‍

‍

La mayoría de las secuelas realizadas tras un ataque revelaron que se aprovecharon varias deficiencias en los sistemas, como falta de actualizaciones, implementación y configuración de sistemas sin cambiar contraseñas predeterminadas y mala aplicación de políticas y procedimientos internos. Defender su hotel implica cosas tan simples como:

• Contar con un buen proveedor de servicios de correo electrónico que utilice sistemas de filtrado de contenidos maliciosos;
• Tener un buen sistema de protección - no sólo un antivirus, hoy puede y debe ser mucho más que eso, filtrar contenidos, evitar intrusiones, tener la capacidad de proteger la navegación en Internet, entre otros;
• Nunca olvides que brindar contacto a tus usuarios y a tu empresa con la adopción de buenas prácticas marca la diferencia .

Recuerde que el ciberdelincuente suele necesitar la 'colaboración' de los usuarios para lograr su objetivo: hacer clic en algo, visitar una dirección web o realizar una descarga .

EL RESCATE

Volvamos a los acontecimientos en Austria y a los 1.500,00 euros que costó resolver la situación. El director del hotel confirmó que ya había sufrido tres ataques anteriores, pero esta vez los 'amigos de la cibernética' consiguieron bloquear los sistemas, concretamente las cerraduras, imposibilitando el acceso de los huéspedes a su alojamiento y afectando gravemente al funcionamiento, quedando sin Otra opción es pagar, ya que ni la policía ni el seguro ayudan en estos casos.

Puede haber asistencia policial, pero siempre está más orientada a proteger otro tipo de infraestructura que la de un hotel. Sin embargo, siempre debe presentarse una queja. En cuanto a los seguros, empiezan a aparecer algunas pólizas para empresas con cobertura para ciberincidentes, sobre todo en el extranjero, en las que la aseguradora brinda ayuda profesional para resolver situaciones, pero como puedes imaginar, no son precisamente baratas, y hay que considerar el coste-beneficio. .de la solución.

Sin embargo, nuestro director austriaco también afirmó que después de pagar el rescate respectivo, se produjeron más ataques y que un cuarto ataque fue repelido porque los sistemas ya habían sido actualizados, se habían implementado nuevos estándares de seguridad y algunas de las redes se habían reorganizado.

‍

Sin querer juzgar a este director de hotel, sobre todo porque conseguir un presupuesto para ciberseguridad siempre es una batalla, lo cierto es que fue apenas la tercera vez que esta unidad hotelera implementó la seguridad necesaria para prevenir las consecuencias de este ataque.

‍

El coste de este problema no fue sólo de 1.500,00 € (más lo pagado anteriormente). El verdadero coste de un ataque va mucho más allá:

• Tiempo de inactividad : a menudo es necesario apagar los sistemas para afrontar y repeler un ataque. Los clientes y servicios pueden verse afectados, provocando un impacto en la reputación y pérdidas financieras;
• Costo financiero : puede ser necesario contratar expertos para resolver el problema e implementar nuevos sistemas, políticas y procedimientos de seguridad. También pueden existir reclamaciones de compensación por parte de los clientes o litigios ante los tribunales y multas asociadas;
• Pérdida de datos : ya sea debido a cifrado o robo, puede tener un impacto importante en el negocio. Los datos privados de los huéspedes, la propiedad intelectual y los documentos estratégicos son vitales para el negocio, y los ciberdelincuentes pueden amenazar con publicar esta información o ponerla directamente a disposición de los competidores;
• Pérdida de vidas – Puede parecer exagerado, pero los dispositivos médicos o el control de ciertos equipos vitales, cuando son afectados por un ataque, pueden poner en riesgo vidas humanas.

Por eso, y porque “más vale prevenir que curar”, mi querido ciberhotelero, lucha por un presupuesto dedicado a proteger la productividad, la continuidad, la reputación y la seguridad del negocio , que incluya la capacidad de afrontarlo “antes de que suceda” y así dificultan y muchas veces evitan un secuestro en su hotel.

‍