En un estudio realizado por una empresa de seguridad se indica que casi un 70% de los hoteles realizan alguna filtración de datos de sus clientes.

Inconscientemente, los hoteles filtran a terceros datos de las reservas y otros datos personales de sus huéspedes.

Para realizar ese estudio se analizaron casi 2000 páginas web de hoteles entre dos y cinco estrellas en más de 50 países. Esto se hizo después de uno de los mayores incidentes de seguridad de datos sufrido por la cadena hotelera Marriott International.

Más Ciberseguridad en hoteles

Los hoteles son un blanco fácil para los ciberdelincuentes. Millones de personas facilitan cada día a los hoteles información personal como nombres, direcciones, emails, números de tarjetas bancarias o DNI. Y estos datos se ven comprometidos diariamente.

Además, existe un creciente interés de los atacantes por los movimientos que realizan empleados del gobierno o ejecutivos de grandes empresas.

Empresas dedicadas a la publicidad realizan rastreos de los hábitos de navegación de los usuarios y, al compartirse esa información, esas terceras empresas pueden utilizar los datos personales para iniciar sesión en una reserva para ver los datos personales o incluso cancelar esa reserva.

 ¿Cómo se realiza esa filtración de datos?

Las filtraciones de esos datos se realizan principalmente cuando el hotel confirma la reserva al cliente por correo electrónico. En ese email se incluye un enlace con la información directa sobre la reserva. La referencia que se incluye en el enlace puede compartirse con más de 30 proveedores de servicios distintos, entre los que están buscadores en Internet, redes sociales o empresas de publicidad.

La empresa de seguridad que realizó el estudió notificó este problema a los responsables de protección de datos de los hoteles. Pero estos, o no respondieron o tardaron más de 10 días en responder.

Algunos de esos hoteles contestaron que aún estaban adaptándose a la normativa de Protección de datos. Pero el RGPD entró en vigor hace casi un año y establece unas obligaciones muy concretas para proteger la información personal y para comunicar los incidentes de seguridad que afecten a esa información.

A pesar del creciente aumento de los ataques informáticos, las empresas siguen sin invertir lo suficiente en ciberseguridad. Las partidas destinadas a la protección frente a ciberataques aumenta más en las grandes empresas que en las pequeñas, que también son objeto de los ciberatacantes e incluso más que las grandes.

La mayoría de estas empresas no dispone de una política de seguridad de la información ni de un procedimiento de respuesta a un ciberataque.

Medidas de seguridad

Es importante que los hoteles dispongan de un protocolo de ciberseguridad para evitar riesgos en la información que manejan. Por eso, en el presupuesto del hotel debe establecerse una partida de inversión destinada a crear un equipo experto en la materia que se encargue de garantizar esa seguridad de la información.

La prioridad del hotel deben ser sus clientes y su seguridad por lo que ese protocolo de seguridad debe ajustarse a ella y a la normativa vigente. En todo momento se debe asegurar la privacidad de la información personal de los clientes.

El principal objetivo de aplicar las medidas de seguridad es proteger la información interna del hotel y la de sus clientes, garantizar la continuidad del negocio y evitar pérdidas por fraudes.

Algunas de las medidas de seguridad que el hotel puede adoptar son:

  • Efectuar periódicamente pruebas de intrusión
  • Adquirir tecnología de forma segura
  • Monitorizar la tecnología adquirida
  • Realización de copias de seguridad diariamente de todos los sistemas y monitorizarlos continuamente. Un esquema de copia de seguridad 3-2-1 es ideal para aislarse contra las amenazas, consiste simplemente en realizar 3 copias de los datos en 2 soportes diferentes y la tercera copia en 1 lugar físico distinto.
  • Separar las redes privadas de las públicas y aplicar métodos de autenticación.
  • Ejecutar un software antivirus con definiciones de malware actualizadas.
  • Evitar abrir enlaces de correos electrónicos y archivos adjuntos de fuentes desconocidas
  • Solicitar datos mínimos imprescindibles y cargarlos en la plataforma.

El caso Marriott

La cadena hotelera Marriott International sufrió hace unos meses un ataque informático que afectó a casi 400 millones de datos de reservas de clientes. Los afectados fueron los hoteles Starwood, adquiridos por el gigante hotelero hace dos años y más de 30 millones de esos datos robados pertenecen a ciudadanos de la UE.

Tras las investigaciones realizadas por la propia compañía, se llegó a la conclusión de que esa vulnerabilidad se inició en el 2014, cuando fueron comprometidos los sistemas informáticos de los hoteles Starwood. Estos hoteles fueron hackeados durante 4 años y hasta finales de 2018 no se descubrió el acceso no autorizado a sus bases de datos. A partir de entonces se inició una investigación en Reino Unido y en EE.UU.

La investigación determinó que se había producido un robo de casi 9 millones de números de tarjetas bancarias, más de 5 millones de números de pasaporte sin cifrar y más de 20 millones de números de pasaporte cifrados.

Multa de 110 millones de euros

Hace unos días, la autoridad de Protección de datos del Reino Unido (ICO) ha impuesto a la cadena hotelera una multa de 110 millones de euros por infracción del RGPD.

La cadena hotelera comunicó al ICO la brecha de seguridad en noviembre de 2018 pero esta había comenzado cuatro años antes. Marriott había adquirido Starwood en 2016 pero no se descubrió ese incidente de seguridad hasta dos años después.

El ICO considera que al adquirir los hoteles Starwood, Marriott no actuó con la debida diligencia ya que debería haber aplicado mayores medidas de seguridad en sus sistemas. Sin embargo, sí reconoce la colaboración de la compañía en la investigación.

Esta sanción se une a la impuesta también hace unos días a la empresa British Airways de más de 200 millones de euros por el robo de datos de clientes a través de su página web en 2017.

El RGPD impone a las empresas la obligación de ser responsables del tratamiento y la seguridad de los datos personales que manejan. Esto supone que deben aplicar las medidas de seguridad adecuadas y analizar el tipo de datos que se recopilan y la forma en que estos se protegen. Igualmente deben tener una diligencia necesaria al realizar adquisiciones empresariales.

Impugnación de la sanción

La cadena hotelera se ha mostrado decepcionada por la sanción impuesta y ha indicado que impugnará la misma.

En todo momento ha existido una colaboración de la empresa con el ICO en la investigación del ciberataque y han indicado que ya no usan para operaciones comerciales la base de datos de reservas de clientes que fue afectada por ese ataque informático.

Desde Marriott indican que se toman muy en serio la privacidad y la seguridad de la información de sus clientes y que están trabajando continuamente para garantizar esa seguridad y satisfacción de sus huéspedes.

Filtración de datos de clientes en los hoteles
4.5 (90%) 6 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.