•  | 
  • 10 min

Consejos de ciberseguridad para los autónomos del sector turístico y ocio

La transformación digital es un proceso necesario para todo tipo de negocios. El autónomo no puede permanecer ajeno a esta evolución. Sin embargo, la digitalización tiene un reverso oscuro: abre puertas a las amenazas a la seguridad. ¿Cómo proteger tu negocio de los ciberdelincuentes?

Las amenazas a los negocios varían dependiendo del sector de actividad. Aunque existen riesgos comunes, no se ven afectados del mismo modo un comercio minorista que una empresa de construcción, por ejemplo. Por sus características, uno de los sectores más expuestos a los ataques es el del turismo y el ocio.

¿Cómo promover una digitalización segura y fiable en este sector? El Instituto Nacional de Ciberseguridad (INCIBE) ha elaborado una guía para ayudar y combatir las ciberamenazas que sufren las empresas de servicios en destinos turísticos y de ocio. Estos pueden ser negocios de alojamientos, restauración, actividades recreativas y culturales y también agencias de viajes o de alquiler de vehículos.

Es importante resaltar que la digitalización proporciona indudables ventajas a los negocios. Permite a las empresas elevar su productividad al mejorar su rendimiento y abaratar los costes. Para los autónomos supone adquirir capacidades que antes sólo estaban al alcance de las grandes empresas: desde soluciones integrales de comunicación hasta completas herramientas de digitalización.

Pero evidentemente no se puede descuidar la ciberseguridad por pequeño que sea tu negocio. Lo más sensato es contratar una solución integral de ciberseguridad. Pero en todo caso, la guía de INCIBE está particularmente útil ya que está enfocada a los autónomos y pequeños negocios.

Ciberamenazas en el sector del turismo y el ocio

Amenazas en el correo electrónico

El correo electrónico es fuente de algunas de las principales amenazas que sufren los negocios turísticos y de ocio. No es algo exclusivo del sector: se han generalizado los ataques por email, con énfasis en el uso de la ingeniería social.

Es precisamente la ingeniería social, en combinación con las herramientas tecnológicas, el método más usado para engañar a empresarios y empleados. La suplantación de identidad es uno de los casos más habituales, usando la técnica del email spoofing.

Entre los principales casos de fraude a través del email destacan:

  • El falso soporte técnico: el estafador se hace pasar por el servicio técnico de la empresa para poder acceder al ordenador de la víctima.
  • El fraude del CEO: se suplanta la identidad del jefe para engañar a un empleado que tenga acceso a las cuentas bancarias de la empresa.
  • El fraude de Recursos Humanos: se suplanta la identidad de un empleado en un correo dirigido al personal de RRHH para solicitar un cambio de cuenta en el ingreso de una nómina.
  • Campaña de distribución de ramsonware: una forma de extorsión en la que se envía este tipo de malware que se introduce en los ordenadores a través un señuelo enviado por email. El malware infecta el equipo y lo inutiliza, pudiendo extenderse por la red de la compañía. Los ciberdelincuentes piden un rescate económico para liberar los archivos y los equipos.
  • Campañas de sextorsión: otra forma de extorsión en la que, con diferentes variantes, se usa como cebo un supuesto vídeo de contenido sexual que se enviaría a la lista de contactos de la víctima.
Ataque por correo electrónico
El fraude de recursos humanos (Fuente: INCIBE)

Amenazas al sitio web corporativo

Para los negocios, pero especialmente para autónomos y empresas del sector del ocio y el turismo, tener una buena página web es imprescindible.

Las principales amenazas a la página web de un negocio son:

  • Vulnerabilidades no parcheadas: fallos del software que pueden ser aprovechados por un ciberdelincuente y causar incidentes de seguridad.
  • Malas configuraciones: acciones como permitir contraseñas simples, no tener sistemas de verificación como captchas pueden originar incidentes de seguridad.
  • Errores de diseño: las páginas web deben diseñarse según estándares de seguridad, como el de la Fundación OWASP, lo que evitará que los ciberdelincuentes puedan acceder a nuestra web.

¿Qué puede ocurrir si finalmente se sucede un incidente de seguridad? Pueden ocurrir situaciones como éstas:

  • Fugas de información: pérdida de información confidencial, que además tendrían consecuencias económicas en forma de sanción por vulneración de la LOPDGDD o extorsiones por los ciberdelicuentes.
  • Ataques de denegación de servicio o DoS: pueden provocar el funcionamiento normal de la web, afectando al desempeño del negocio.
  • Defacement: ataque que cambia la apariencia de la web. El ciberdelincuente pretende dañar la imagen del negocio, alojar un sitio falso para realizar phisihing, distribuir malware o realizar acciones de vandalismo.

Amenazas en redes sociales

Las redes sociales están alcanzando cada vez más importancia para los negocios. Suponen un escaparate donde pueden presentarse los productos de la empresa, usarse incluso como canal de venta y relacionarse con el cliente, servicio de atención incluido.

Sin embargo, la exposición pública a través de estos canales constituye un tentador objetivo para los ciberdelincuentes. Las redes sociales permiten realizar campañas maliciosas como:

  • Fraudes por suplantación de clientes o proveedores.
  • Campañas de malware.
  • Campañas de phishing.

Amenazas en redes inalámbricas

La posibilidad de que los negocios permitan a sus clientes conectarse a un punto de acceso de wifi gratuito se está extendiendo. Esto es más habitual aún en negocios de turismo y hostelería. El acceso a redes wifi comporta varios riesgos:

  • Denegación de servicio (DoS): incapacitar la infraestructura inalámbrica a través de peticiones de servicio masiva a los puntos de acceso. Esto provoca el fallo del servicio al no poder atender todas las peticiones.
  • Man-in-the-Middle: el ciberdelincuente se sitúa entre el emisor y el receptor, suplanta una de las partes y engaña al destinatario.
  • Ataques de fuerza bruta: usar de forma masiva todas las contraseñas posibles y averiguar así las claves que dan acceso a la red wifi.
  • Eavesdropping: captura de tráfico de red no autorizado a través de alguna herramienta para hacer una escucha ilegal.
  • MAC spoofing: suplantar la dirección MAC de un dispositivo con acceso a un determinado punto de acceso.

Otras amenazas

Entre otras amenazas y fraudes que pueden sufrir los autónomos y empresas del sector del turismo y del ocio destacan:

  • Transferencias bancarias o cheques sin fondos: los delincuentes pueden realizar transferencias bancarias para contratar un servicio de alojamiento y luego anular el pago. Cuando se destapa el fraude ya se ha hecho uso del servicio. Los cheques sin fondo se envían y después se cancela el viaje y se solicita la devolución de un importe que nunca se pagó.
  • Pagos con tarjetas robadas: el fraude es difícil de detectar y el delincuente puede usar los servicios durante más tiempo.
  • Fraude en reservas vacacionales: los ciberdelincuentes emplean la ingeniería social para engañar a los encargados de reservas si las tarjetas robadas son detectadas.

Medidas de seguridad en el sector del turismo y el ocio

Muchas de las amenazas relatadas arriba pueden ser evitadas y contenidas si, como señala la guía de INCIBE “aplicamos ciertas de medidas de ciberseguridad y, sobre todo, el sentido común”.

Medidas para el correo electrónico

  • Asegurarse de que los emails tienen un origen confiable: comprobar la dirección. Si bien los delincuentes pueden usar la técnica de email spoofing para suplantar direcciones legítimas. Por eso conviene revisar el cuerpo del mensaje y ver que esté bien redactado.
  • Verificar con la fuente acciones relativas a pagos: cuando se solicitan pagos, cambios de cuenta o cualquier solicitud que implique movimientos de dinero se debe verificar con la fuente original por medio distinto al email.
  • Realizar copias de seguridad periódica de los datos: para minimizar los daños infligidos por la distribución de ransomware a través de correo electrónico, debe realizarse copias de seguridad. Nunca se debe pagar el rescate.
Correo electrónico fraudulento
Aspectos para identificar la legitimidad de un email (Fuente: INCIBE)

Medidas para el sitio web corporativo

Conviene tener contratada la página web de tu negocio con un servicio profesional. Como primera medida, el sitio web debe estar siempre actualizado y contar con una política de seguridad que contenga los siguientes aspectos:

  • Tener instalado un certificado SSL: este certificado web sirve para proteger las comunicaciones entre la web corporativa y el dispositivo del cliente.
  • Tener al día las actualizaciones de seguridad del gestor de contenidos (CMS): las actualizaciones de seguridad corrigen posibles vulnerabilidades.
  • Utilizar contraseñas robustas: es importante no permitir que puedan usarse contraseñas sin un mínimo de seguridad. Asimismo, puede inhabilitarse al usuario ante un determinado número de accesos incorrectos, entre otras medidas de seguridad.
  • Realizar copias de seguridad: se debe hacer de forma periódica y almacenarlas en un lugar seguro.
  • Usar sistemas de respaldo: esto permitirá que la web siga funcionando cuando se produzca un incidente de seguridad.
  • Utilizar sistemas captcha: el captcha impide a bots que interactúen con la web corporativa.
  • Realizar una gestión de registros: un sistema de gestión de registros guarda los eventos más importantes de la web. Esto permite investigar lo sucedido en el caso de un eventual incidente de seguridad.
  • Tener instalados entornos de producción y prueba: conviene probar previamente las actualizaciones de seguridad y similares en un entorno controlado.
  • Asegurar pagos online seguros.
  • Asegurar el cumplimiento legal y normativo.

Medidas para las redes sociales

Para no verse afectados por problemas de seguridad, deben adoptarse las siguientes prevenciones:

  • Utilizar contraseñas de acceso robustas: es muy importante dificultar el acceso a la cuenta a cualquier ciberdelincuente que podría hacer un uso fraudulento, como conseguir información, publicar en nombre del negocio o comunicarse con clientes.
  • Realizar una correcta configuración de la privacidad: debe buscarse el equilibrio entre la funcionalidad y la seguridad.
  • Elegir un responsable de publicación: no es conveniente permitir el acceso para publicar de manera generalizada. Es aconsejable designar un responsable de publicación.
  • Realizar restricciones de acceso: analizar cuidadosamente aplicaciones que podamos usar en la gestión de redes para autorizar o no su acceso.
  • Estar al día de las ciberamenazas y fomentar la concienciación sobre ciberseguridad entre los empleados
  • Precaución a la hora de seguir enlaces: hay que ser cautos al clicar enlaces o descargar archivos adjuntos, ya que es habitual la distribución de malware por redes sociales.
  • Precaución al publicar: por supuesto, hay que publicar con prudencia y sentido común: no dar información confidencial, evitar comentarios inoportunos, no emitir juicios de valor, entrar en discusiones o propalar noticias falsas.

Medidas para redes inalámbricas

La red wifi gratuita es un servicio especialmente demandado por los clientes de hostelería. Es fundamental que los negocios contraten una red wifi independiente y segura a sus clientes.

En todo caso, es necesario adoptar las siguientes medidas de seguridad:

  • Mantener actualizado el firmaware del router
  • Cambiar las credenciales de acceso por defecto
  • Usar como mínimo un cifrado WPA2-PSK para la transmisión de datos
  • Cambiar el nombre de la red que viene por defecto
  • Establecer medidas de control parental
  • Asegurar que la red wifi sea independiente del resto de redes del negocio.
  • La contraseña ofrecida a los clientes debe cambiarse periódicamente, aunque sea gratuita.
  • Es recomendable apagar la red wifi fuera de horario.
  • Se debe ocultar el SSID del resto de redes wifi de la empresa.

Otras medidas de seguridad

Entre otras medidas, debemos destacar las medidas para métodos de pago: es imprescindible realizar una identificación segura de usuarios, mediante plataformas de identificación seguras; establecimiento de políticas de formas de pago y cobro.

Proteger los equipos y dispositivos de tus empleados con un antivirus.