En noviembre pasado, se reveló que la información privada de unos 500 millones de huéspedes en el Marriott International se había filtrado. Los datos expuestos incluyen nombres, direcciones, números de teléfono, números de pasaporte y correos electrónicos. El hackeo se remonta a la red de reservas de habitaciones de la sucursal de Starwood de la cadena hotelera. Se descubrió que había acceso no autorizado a la base de datos desde 2014.

La industria hotelera es un objetivo común para los ciber delincuentes debido a la gran cantidad de datos que poseen los hoteles. El Informe de Perspectivas de Hoteles de PwC 2018 – 2022 mostró que la industria de Hostelería  tiene el segundo número más alto de violaciones de datos. Está claro que las grandes marcas de hoteles siguen fallando en lo que respecta a la seguridad en el espacio digital.

A la luz de estos incidentes, ¿qué lecciones se pueden aprender de los ataques al Hotel Marriott y de la ciberseguridad para el negocio de la Hostelería en general?

 

La seguridad de los datos debe ser parte de las negociaciones comerciales.

Marriott International adquirió la cadena de hoteles Starwood por $ 13.6 mil millones en septiembre de 2016. La base de clientes de Starwood fueron la razón principal de la adquisición, y el CEO de Marriott incluso mencionó el Programa de Fidelidad de Starwood como una de las motivaciones de compra. Pero dado que el hackeo se remonta al año 2014, el gigante hotelero, sin saberlo, también adquirió una violación de datos en curso.

Una valiosa lección aquí es que las empresas siempre deben analizar la ciberseguridad y el manejo de datos de otras compañías antes de que entren en un acuerdo de compra. A pesar de que el hackeo ocurrió antes de la adquisición, la reputación de Marriott sigue comprometida.

El mismo principio debe aplicarse cuando una empresa adquiere nueva infraestructura, aplicaciones y sistemas. Si bien estos parecen activos, también deben tratarse como pasivos potenciales, especialmente cuando se trata de la seguridad de los datos. Es importante tener en cuenta que las innovaciones tecnológicas surgen con frecuencia y que el cifrado y la seguridad de estos nuevos desarrollos deben estudiarse detenidamente.

En el informe de Ayima sobre nuevas tecnologías para noviembre de 2018, destacaron el nuevo producto de videollamadas de Facebook llamado Portal, que cuenta con una cámara inteligente que rastrea y sigue el movimiento de las personas en la sala. El chat por video se está explorando actualmente en la industria de la Hostelería, con aeropuertos que instalan quioscos con pantallas interactivas para la comunicación bidireccional. Si un hotel se asociara con Facebook, tendría que analizar los protocolos de seguridad de datos que Facebook tiene implementados. Sin embargo, dado el propio escándalo de Cambridge Analytica en Facebook, sería mejor que una empresa hotelera agregara su propia capa de seguridad cibernética.

 

El almacenamiento adecuado de datos es importante

Lo más preocupante de la violación de datos de Marriott es el hecho de que la empresa no puede confirmar si las claves de cifrado utilizadas para proteger los números de las tarjetas de crédito también se han comprometido. Cuando una empresa no tiene visibilidad constante sobre la ubicación de las claves que protegen la identidad de los servidores, no sabría dónde se encuentran las vulnerabilidades del sistema.

Este problema podría haberse evitado si la compañía hotelera se hubiera asegurado de que la información de las tarjetas de crédito se guardará en distintos servidores; en lugar de utilizar una única base de datos. Este error facilita la tarea de los ciber delincuentes, ya que solo necesitan explotar una única vulnerabilidad para obtener datos importantes.

 

Es fundamental que las auditorías de seguridad se realicen regularmente.

Todas las empresas deben hacer una auditoría para detectar cualquier actividad inusual. También ayuda a prevenir los ataques cibernéticos en primer lugar, ya que garantiza un entorno digital seguro y la integridad de los datos. Tras la adquisición, a Marriott le llevó dos años darse cuenta de la violación de datos.

Es más fácil decirlo que hacerlo, especialmente para las empresas que tienen múltiples entornos de nube. Para facilitar el proceso de auditoría, las empresas tendrían que encontrar una manera de identificar los activos recién agregados y establecer un sistema que asegure la visibilidad de cada nuevo activo en la nube.

 

Escrito por JBridges para ODS