Ciberseguridad en turismo… ¿y si el próximo eres tú?

Ha pasado un año y medio desde que nuestro mundo se vio alterado por un desconocido virus que ha descolocado nuestras vidas tanto en el ámbito profesional como en el personal. La pandemia mundial ha provocado grandes cambios en nuestras rutinas diarias que en gran parte hemos solventado a través de la tecnología. El sector del turismo, uno de los pilares de nuestra economía, cuyo peso en el PIB alcanzaba en 2019 algo más del 12%, se desplomaba al 5% en 2020, viviendo la peor crisis de su historia. Aunque la implantación tecnológica en el desarrollo de su actividad era elevada, el sector se ha visto forzado a acelerar su proceso de digitalización impulsado por la pandemia, con el objetivo de aportar a sus clientes mayor comodidad, seguridad y confianza, reforzando igualmente su experiencia de usuario.

Desde la perspectiva operacional, debemos considerar que esta “digitalización exprés” además de suponer avances significativos, también trae consigo riesgos, sobre todo, si la rapidez en la implementación conlleva pasar por alto las medidas relativas a la ciberseguridad. No en vano, cabe destacar, que el sector español del turismo figura en cuanto a madurez en ciberseguridad por debajo de la media del tejido empresarial. Sólo un 5% de las compañías son clasificadas como ciberexpertas (según barómetro de ciberpreparación sector turismo 2021 de Hiscox), circunstancia que explica por qué se está convirtiendo en uno de los sectores favoritos de los ciberatacantes, junto al financiero y el sanitario. Como estamos viendo en las noticias con bastante frecuencia, nadie está a salvo. Grandes compañías y organismos nacionales e internacionales, están siendo atacadas, aun contando con las medidas de protección más robustas. Lo que sí es evitable es que el ataque consiga provocar algún daño en el negocio. Para ello, es fundamental contar con los servicios adecuados que permitan identificar las amenazas existentes, detectar los intentos de ataque y restablecer la actividad lo antes posible.

Los ciberataques se han incrementado a nivel mundial. Diferentes estudios indican que en España la cifra de este tipo de incidentes ha aumentado un 125% en el último año, siendo el tercer país más afectado en Europa.

Los principales riesgos a los que se enfrentan las empresas del sector son aquellos dirigidos hacia las apps, el acceso remoto, wifis, o el robo de información y datos sensibles. Son habituales las campañas de malware, especialmente a través de phising, con el robo de datos de tarjetas de crédito de clientes, datos de fidelización y personales. Cabe resaltar que el ransomware fue una de las principales amenazas del pasado año, donde los delincuentes cifran los datos de la compañía y piden por ellos un rescate económico. El coste medio de recuperación de las empresas españolas se ha duplicado, desde los 260.000 euros en 2020 hasta alcanzar los 500.000 euros en 2021 (Según el estudio 'El Estado del ransomware 2021' de Sophos).

Para una organización, un ciberataque, además de suponer un gran impacto económico conlleva un daño de reputación, incluso pudiendo derivar en la pérdida de clientes. También hay que considerar que sufrir una fuga de información, según el Reglamento General de Protección de Datos (normativa de obligado cumplimiento por todas las empresas) debe ser comunicada a las autoridades competentes en un plazo máximo de 72 horas y puede originar duras sanciones ascendiendo desde un 4% de la facturación anual hasta los 20 millones de euros.

Ante este escenario global, los expertos recomiendan disponer de un plan de ciberseguridad que forme parte de la estrategia de la compañía, capaz de garantizar la protección de sus sistemas e infraestructuras con medidas como: pentesting, wifi segura seguridad perimetral, protección de datos, acceso seguro cloud, seguridad desde el diseño DevSecOps o diagnósticos de seguridad que nos alerten de posibles amenazas. Adicionalmente, se debe realizar un importante trabajo de concienciación y formación en ciber-seguridad a los empleados, ya que un alto porcentaje de las incidencias tiene en ellos su punto de entrada. Los organismos nacionales, comprometidos con la ciberseguridad y protección de infraestructuras, ante este desafío están trabajando desplegando medidas y planes para frenar ciberataques y contribuir al deseado blindaje de la seguridad de las pequeñas y medianas empresas del sector.

Entre alguna de ellas, a principios del año 2021, el Ministerio de Industria, Comercio y Turismo, a través de la Escuela de Organización Industrial (EOI) y con la colaboración del Instituto Nacional de Ciberseguridad (INCIBE), ha lanzado el Programa ACTIVA de Innovación en Ciberseguridad. Otra iniciativa reciente promovida por la Sociedad Mercantil Estatal para la Gestión de la Innovación las Tecnologías Turísticas (SEGITTUR) en colaboración con INCIBE busca concienciar y elevar la ciberseguridad y resiliencia ante incidentes de ciberseguridad de los las empresas del sector turístico. Parece que la COVID19 deja de ser una amenaza en la reactivación de la actividad económica, pero no nos olvidemos que en 2022 los ciberataques seguirán aumentando y amenazando a todo tipo de organizaciones de todos los sectores. Es momento de saber si estamos preparados... ¿y si el próximo eres tú?