La obligatoriedad de guardar la información durante tres años dispara los riesgos


La plataforma sesHospedajes es segura, pero las pymes deberán invertir y externalizar


HOSTELTUR - JESÚS PEÑALVER - 18 de Octubre de 2.024

El registro de datos de reservas que se pondrá en marcha el próximo 2 de diciembre, fruto del Real Decreto 933/2021 impuesto por al Ministerio del Interior, supondrá numerosos desafíos para las agencias de viajes, que han medido reiteradamente quedar exentas de ese control. Entre otros, importantes inversiones en ciberseguridad para prevenir o paliar los ataques, según le han adelantado a HOSTELTUR expertos en la materia.

Lo primero que hay que tener en cuenta es que los riesgos para la ciberseguridad se reparten entre la plataforma online habilitada por el departamento gubernamental para que las empresas -que incluyen también hoteles, alquiler turístico y rent-a-car- introduzcan más de medio centenar de datos personales de sus clientes, incluidos los bancarios y relaciones de parentesco entre viajeros, y los recursos ofimáticos de las propias compañías.

Plataforma a priori segura

Por lo que se refiere a la primera, sesHospedajes, el experto Xavier Ferretjans, técnico de Binaura Monlex, asegura que "la seguridad es excelente, ya que se apoya en un sistema de múltiple factor de autenticación como cl@ve, dotado de un sistema muy avanzado y fiable". Además, también se puede acceder con el certificado digital, y otra opción es que hacerlo a través de las aplicaciones de gestión de establecimientos hoteleros (PMS), que "se integran con ella y el envío ya se realiza directamente desde la propia aplicación".

Sin embargo, esa tecnología no se emplea en el ámbito de la distribución. En un sector tan atomizado como el de las agencias de viajes, donde un pequeño grupo de grandes empresas, cohabita con una pléyade de pymes y micropymes, la diversidad se traslada también a la protección ante el cibercrimen: es igualmente desigual. Por tanto, el sector queda más expuesto a los ciberataques: "Siempre atacarán al eslabón de la cadena más débil, como pymes o micropymes, y nadie va a estar a salvo", ha expuesto Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Otro riesgo: "El múltiple factor de autenticación es vulnerable a ataques de ingeniería social o teléfonos móviles de usuarios que ya se encuentran comprometidos", ha dicho Ferretjans

La ingeniería social es recurrir al engaño de las personas, apoyándose en la tecnología. Un buen ejemplo es el llamado 'timo del CEO', que consiste en "suplantar la identidad del director general de una compañía señalando un cambio en pagos, aportando una nueva cuenta, que controlan los ciberdelincuentes", ha expuesto Nieva, que ha detallado que "ahora se emplean técnicas de IA que incorporan incluso realización de llamadas telefónicas con imitación real de la voz del directivo". Sí, hasta ese punto llegan.

Los costes de minimizar los riesgos

Para paliar este tipo de ataques "se deben realizar cambios en la organización para minimizar el impacto", ha adelantado. Por ejemplo, pactar una contraseña o que se necesite la firma de otro directivo para autorizar la operación; cualquier cosa que los cibercriminales no puedan tener prevista o descubrir de antemano. El especialista define la respuesta de las empresas a estos riesgos con tres términos que también suenan a gasto: "inversión, formación y protocolos de actuación". Porque con un registro de millones de datos activo, los asaltos se redoblarán.

"Si vamos a las cifras de ataques a Pymes de los últimos años, diría que no están seguras"

"Si vemos los ciberataques que se han efectuado contra el sector de la hostelería en 2022 y 2023, estamos ante uno de los sectores más castigados y buscados por los cibercriminales" ha asegurado Ferretjans, que descarta que las pymes sean seguras, en función de las cifras de incidencias registradas en los últimos años. En este contexto, el volumen de información que se solicita en el Real Decreto 933/2021 tiene una consecuencia: "el botín es mayor y por tanto el riesgo de sufrir ciberataques aumenta irremediablemente".

Las medidas que se pueden adoptar desde las empresas para prevenir o paliar -ya que hay que tener en cuenta las dos dimensiones- posibles ciberataques representan gasto. Xavier Ferretjans las resume así: "Podemos afrontar la situación desde varias perspectivas; como es altamente probable que suframos intentos de ciberataques en este sector, realizar un estudio de la situación de nuestras defensas, tecnologías utilizadas, formación a los empleados y solicitar ayuda a empresas especializadas para evaluar dicha situación y proponer estrategias para fortalecernos antes de los ataques", ha adelantado.

Almacenar datos durante tres años

Cabe precisar que las agencias de viajes y el resto de empresas del sector turístico que deberán realizar el control de reservas deberán almacenar el registro durante un plazo de tres años, y serán responsables de ella. Así las cosas, además de estrategias de protección, "debemos analizar también qué capacidad tenemos de detectar los ataques en cualquier vector, tanto el tecnológico como el humano, quizá el más vulnerable ante lo ciberataques", ha razonado el experto.

3 gastos que traerá consigo el registro de reservas

  1. Almacenaje seguro de los datos: deben permanecer bajo custodia de la empresa durante tres años. Xavier Ferretjans recomienda a las empresas que no puedan asumirlo por sí mismas que lo externalicen en la nube.
  2. Seguro ante ciberataques: el experto considera vital que las empresas se cubran con una póliza, que suele incluir los costes de defensa legal, la recuperación de un ataque, como hacer nuevos servicios o un forensic.
  3. Realizar un forensic: en caso de haber recibido un ciberataque se tendrá que llegar al fondo del asunto para conocer las causas y prevenir otros, para ello, se realiza un forensic, que es similar a una autopsia clínica pero se usa para defenderse en un juicio. Obviamente, si se cuenta con seguro este gasto puede estar cubierto.

Ver artículo completo en HOSTELTUR


Fuente:

HOSTELTUR

Compartir esta noticia

Este sitio web utiliza cookies y/o tecnologías similares estrictamente necesarias para que el usuario obtenga una correcta navegación por el sitio web.