La verdad sobre las lagunas de seguridad de los hoteles

Introducción a la seguridad en la hotelería Hola a todos. Esta semana en Matt Talks, episodio once, quería hablar de seguridad. La seguridad no es uno de esos temas que entusiasman a mucha gente. Por desgracia, ésta no es la nueva característica de IA más emocionante. Se trata realmente de proteger tus datos en el hotel. Y, por desgracia, estamos viendo una cantidad elevada de ataques contra sistemas en la nube, donde tradicionalmente la mayoría, la mayoría de las plataformas heredadas para ver ataques elevados reales, y verías estos comunicados de prensa con millones de cuentas fueron robadas con un montón de datos de tarjetas de crédito sin cifrar. Es mucho más difícil porque gran parte del sector se está pasando a la nube y está viendo las ventajas. Así que, aunque los ataques son mucho menores, estamos viendo un mayor volumen de ellos porque ahora engañan psicológicamente a tus empleados para que entreguen sus credenciales de inicio de sesión. Y a través de eso, van descargando datos y a través de eso, se ponen en contacto con tus huéspedes. Así que es un modelo bastante avanzado, a diferencia de lo que solían hacer. Así que en esta Matt Talks, lo que quería explicar es, en primer lugar, qué es el phishing y cómo se hace hoy en día, qué puedes hacer al respecto y, por último, qué estamos haciendo al respecto como empresa. Capítulo ¿Qué es el phishing y a quién afecta? Empecemos con el phishing. Cada vez que pulsas estamos phishing, probablemente piensas, oh, es un correo electrónico de un príncipe de un país lejano diciendo que has ganado dinero por un precio. Pero esto ha ido mucho más allá de la mera campaña de correo electrónico que dice, ya sabes, verifica tu cuenta, pulsa este botón, y luego te registras y acabas de pasar tus credenciales de acceso. Esto va realmente mucho más allá de las campañas tradicionales, y estos delincuentes son increíblemente inteligentes a la hora de engañar psicológicamente a tus empleados. Entonces, ¿a quién afecta? En primer lugar, lo estamos viendo en todo el sector, en sistemas de gestión de propiedades, sistemas centrales de reservas, sistemas CRM, cualquier cosa que albergue información valiosa sobre los huéspedes. Y buscan direcciones de correo electrónico, números de teléfono, nombres de huéspedes y datos de la reserva. Lo que intentan obtener son datos suficientes para ponerse en contacto con tu huésped y decirle: "Hola, Sr. Smith". Tienes una reserva el 5 de agosto en el hotel ABC. Lamentablemente, tu tarjeta de crédito ha fallado. Haz clic en este enlace para volver a enviar tu tarjeta de crédito. Y eso les lleva a un formulario de Google o a uno de esos formularios web. Y luego los huéspedes envían sus credenciales de tarjeta de crédito muy personales porque suena bastante válido. Como si recibes un correo electrónico y ellos saben todas estas cosas sobre tu reserva en un hotel. Y, por desgracia, muchos, muchos huéspedes caen en la trampa. Esto está ocurriendo en la mayoría de los sectores, pero en los últimos meses estamos viendo ataques especialmente elevados en la hotelería. Y se dirigen a los hoteleros porque saben que tenemos todos estos datos tan personales. Y la gente que viaja está acostumbrada a entregar sus credenciales de tarjeta de crédito de formas diferentes, a veces sin cifrar, debido a todos los sistemas heredados que hemos tenido durante muchos, muchos años. Capítulo Cómo funciona el phishing, con ejemplos Así que en la siguiente diapositiva hablaré de cómo se introducen, porque es un paso muy importante para que podáis protegeros contra ello. El coste de estos ataques es grave, porque lo que harán será entrar en tu sistema, descargarse todos los datos de los huéspedes y, a continuación, empezar a ponerse en contacto directamente con tus huéspedes y empezar a cargar en sus tarjetas de crédito. Y obviamente los huéspedes están notando el impacto. Y aunque probablemente puedan hacer retrocesos de cargo, pueden pedir a sus bancos que rechacen los cargos. Esto está causando un enorme daño a la reputación de tu hotel, porque dicen: "Está claro que no puedo fiarme de este hotel". Les he dado mis datos. Y luego, entregaron las credenciales de inicio de sesión de sus empleados a estos delincuentes, y ahora están utilizando mis datos personales. Así que estamos luchando contra un daño a la reputación. Y la forma en que están, accediendo a las credenciales de acceso, la forma en que están engañando a tus empleados está cambiando constantemente. Y son muy, muy buenos, y es muy difícil detectarlos. Eso es lo que quería mostrarte. Así que esta es una, una forma en la que actualmente se dirigen a ti. Así que lo que ves es que tus empleados dicen, oye. Busco un inicio de sesión en Mews. Esto les lleva al enlace patrocinado, y permíteme que me detenga ahí. Perdona. Lo que ves es este enlace patrocinado que dice aplicación punto mews punto com. Google permite a estos anunciantes, a los que llama anunciantes válidos. Nos hemos puesto en contacto con Google muchas veces y le hemos dicho: ¿puedes retirarlos? No son anunciantes válidos. Pero como gastan dinero en Google, Google quiere protegerlos. Es una auténtica locura. Verás que todo se parece exactamente a Mews. Pero, ¿qué ocurre cuando haces clic en ese enlace? Verás, haces clic en él y te lleva a una URL diferente que parece casi igual. Toda la página, han copiado la página de inicio de sesión, y luego te lleva a aplicación punto mewaes punto com, URL ligeramente diferente. La mayoría de la gente no tiene esto y entonces se registran con su nombre de usuario, su credencial e incluso códigos de autenticación de dos factores que ahora están copiando. Así que, incluso con la autenticación de dos factores, no estás seguro al cien por cien a menos que utilices los magic links. Y así es como se registran en el sistema. Así que el primer paso es que obtengan las credenciales de acceso de tu empleado. Se registrarán con esas Credenciales. Crearán un nuevo usuario. Y luego, con esa nueva cuenta de usuario, habilitarán la autenticación de dos factores en esa cuenta concreta. Y entonces empiezan a descargar archivos y datos de huéspedes, porque por desgracia uno de tus empleados ha caído en sus trucos en una página web pública como Google punto com, y entonces empiezan a dirigirse a tus clientes. Así que se trata de un ataque en varios pasos, pero todo empieza cuando tus empleados, por desgracia, entregan voluntariamente sus credenciales de acceso. Así que también vemos estas páginas web, cientos de URL diferentes. Así que en éste, ves, por ejemplo, que pone aplicación punto r n e w s. Parece casi una m, por lo que tendrías que ser muy bueno para detectarlo. Por tanto, una de las cosas que enseñamos es, obviamente, que se aseguren de marcar la URL de la página de acceso directamente en sus ordenadores para que no tengan que buscar en Google. Nunca debes hacer que tus empleados busquen en Google páginas de acceso a los servicios online que tengas, a ningún servicio online que tengas, y nunca hagas clic en el enlace patrocinado. El enlace patrocinado es donde se produce el mayor daño. Así que también va más allá del correo electrónico. ¿Verdad? Así que, antes, recibías un correo electrónico y decías que hicieras clic en este botón para proporcionar tus credenciales de inicio de sesión. Ahora vemos phishing de voz. Así que puede que llamen a tus huéspedes y les digan: "Señor Jones, tiene esta reserva". ¿Puedes verificarlo? Y la voz es muy buena, y ahora utilizan la IA para hablar con tus huéspedes y entregarles las credenciales. SMS phishing, porque tienen su número de teléfono de tu huésped, base de datos. Y con un correo electrónico, ahora hemos formado a nuestro personal para que reconozca las cosas que parecen sospechosas. Sin embargo, con los SMS no se ve. Esto no es más que un SMS que recibes de un número aleatorio. Conocen todos los datos de la reserva, por lo que los huéspedes caen en la trampa. Y realmente están haciendo girar múltiples vectores en los que atacan, a tus huéspedes y a los miembros de tu equipo. Capítulo Cómo proteger a tus equipos y a tus huéspedes Así que hablemos de cómo protegernos, porque esto es algo realmente importante. Así que uno, tenemos que enseñar a nuestro personal a no utilizar nunca los motores de reservas para encontrar inicios de sesión, para encontrar páginas de inicio de sesión. Esas páginas de acceso deben estar marcadas en la parte superior de tu página para cualquiera de los servicios que estés utilizando actualmente en tus hoteles. Cada vez que busques en Google, deberían verificar la URL. Si insisten en utilizar Google para encontrar las credenciales de inicio de sesión, tienes que enseñar a tu personal a verificar la URL de inicio de sesión, o a asegurarse de que nunca hacen clic en los enlaces patrocinados. Un vector que ayuda a proteger hasta cierto punto es la autenticación de dos factores. Así, después de haberte registrado con tu dirección de correo electrónico y tu contraseña, te enviará un código a través de una aplicación de autenticación o puede que te envíe un correo electrónico, y entonces lo utilizarás para realizar el check-in. Así que ya hemos cambiado nuestros correos electrónicos por magic links, porque entonces en realidad no te registras en la página en la que estás, sino que recibes un correo electrónico y tienes que hacer clic en el enlace del correo electrónico para registrarte. Éste elude los intentos de phishing que estamos viendo actualmente. Sin embargo, si tienes el código que obtienes en la aplicación de autenticación, a menudo esos códigos son válidos durante diez o quince segundos. Cuando los pegas en la página web falsa, los delincuentes de phishing se sientan dentro de una copia de tu página web y los copian instantáneamente. Así que todavía pueden registrarse si no eres diligente. Así que dos FA es muy bueno, y ahora lo hemos aplicado en el cien por cien de nuestros hoteles. Siguen utilizándolo para acceder. Utiliza siempre un único nombre de usuario por persona. Nunca compartas contraseñas en los hoteles, y asegúrate de utilizar un manager de contraseñas para que cada servicio tenga un inicio de sesión diferente. Así que nunca debes tener la misma contraseña para un mismo servicio, especialmente para tu buzón de correo electrónico, porque éste suele configurarse como una especie de dominio maestro al que todos los demás servicios envían sus credenciales de inicio de sesión. Así que, a menudo, cuando intentas registrarte en un servicio y te dice: "He olvidado mi contraseña", sólo tienes que poner tu dirección de correo electrónico y te envía el mensaje. Así que si la contraseña de tu cuenta de correo electrónico es la misma que la de Mews, habrás facilitado mucho las cosas para que estos delincuentes te ataquen. Siete, es necesario que exijas contraseñas seguras. Así que no deberían ser palabras que recuerdes o reconozcas porque pueden reformatearlas con mucha facilidad. Utiliza un manager de contraseñas para que te proporcione estas contraseñas seguras. Ocho, tienes que formar a tu equipo. Se trata de una sesión de formación que tiene que tener lugar, regularmente, porque se olvidarán si no son diligentes. Y si no son sus datos, no les importa mucho. Si se filtran sus Credenciales, ¿qué es lo peor que les puede pasar? Pero, por desgracia, para ti, como operador hotelero, podría ser grave y, sobre todo, también para los huéspedes. Si ves nuevos vectores, si ves nuevos tipos de ataques, asegúrate de compartirlos con nuestra Community, con tu Community, porque tenemos que enseñarnos unos a otros. Y por último, estate siempre, siempre alerta. Si estás en Internet, si buscas cosas en Google, no confíes ciegamente en todo porque, por desgracia, hay una enorme cantidad de delincuentes ahí fuera que intentan atacarte. Si tuviera que decir algo, diría que hicieran una captura de pantalla de esta página, que la registraran, que la imprimieran para su personal, que la pusieran en el mostrador de recepción para que realmente se acordaran de ella. Asegúrate de que esto figura en el manual de contratación para que, cuando se incorpore gente nueva, repitas siempre estas cosas, porque son muy, muy importantes. Entonces, ¿qué Capítulo ¿Qué estamos haciendo en Mews estamos haciendo en Mews? Porque trabajamos día y noche para ayudarte a proteger a los miembros de tu equipo, a tus huéspedes y sus datos. Así que estamos haciendo una serie de autorizaciones a nivel de dispositivo. Así que la primera es, si nosotros, cuando te registras, estamos verificando que son humanos. Ahora hemos añadido esa casilla. Si reconocemos el dispositivo, es decir, si reconozco que en el ordenador en el que estoy, me he registrado hoy, diremos, oye. Esto es seguro. Pero si en el momento en que te registres en un nuevo dispositivo, recibirás un correo electrónico nuestro diciendo, oye. Hoy se ha registrado un nuevo registro desde Amsterdam. ¿Eres tú? Esto ayudará a identificar que alguien se ha registrado en tu cuenta. Y si eso te parece sospechoso de algún modo, asegúrate de dar la alarma y de ponerte en contacto con el administrador de tu hotel y asegúrate de restablecer tus cuentas. Estamos invirtiendo mucho en ingenieros expertos en seguridad. Llevan meses trabajando sin descanso para ayudar a introducir nuevas formas de protegernos. Formamos a todos los miembros de nuestro equipo internamente con regularidad. Hablamos de esto en nuestras reuniones de manos a la obra, asegurándonos de que quien habla a los clientes, a ti, te está educando. Y nos aseguramos de que cada línea de código que insertamos en el sistema piensa en la seguridad. Y la mayoría de nuestros ingenieros de software están completamente formados en seguridad. Utilizamos empresas para evaluar constantemente todo el trabajo que hacemos. Y creo que lo que te recomendaría es que pensaras, vale, ¿con qué frecuencia hemos formado a nuestro equipo y con qué regularidad deberíamos hacerlo? Y asegurarte de que has configurado esta formación para los miembros de tu equipo. Si Capítulo La última conclusión y ponte a salvo te llevas algo de este breve vídeo, es que enseñes a tus equipos a no buscar nunca en Google. Utiliza siempre marcadores. Así que nunca busques páginas de inicio de sesión en Google. Utiliza siempre los marcadores que están registrados en el ordenador y asegúrate de que todos los ordenadores que tus empleados están, instalando, tienen todos los marcadores, registrados en su escritorio de alguna manera para ayudarles, porque ahí es donde ocurre todo. Estamos en conversaciones activas con Google. Desgraciadamente, no son útiles, pero continuaremos luchando y asegurándonos de que les presionamos al máximo. Pero mientras tanto, por favor, asegúrate de que los miembros de tu equipo nunca jamás accedan a las páginas de inicio de sesión de Google. Y si alguna vez tienes alguna duda, ponte en contacto con nosotros. Tenemos un equipo de soporte veinticuatro siete en alerta para ayudarte contra cualquiera de estos ataques. Pero esto es implacable. Está ocurriendo desde hace muchos meses y se está intensificando, por lo que debes asegurarte de que te proteges a ti mismo y a tus distintos sistemas, porque está ocurriendo en todo el sector, en distintos sistemas. Gracias y estancia segura.