Cómo un ciberataque reformó la seguridad de este hotel

Introducción Hola a todos. Bienvenido de nuevo a otra Charla de Matt. Esta semana quería hablar de la ciberseguridad, un tema que debería apasionaros a todos, pero posiblemente no lo hagáis. Y espero que Josh pueda entusiasmarnos con este tema en particular. Josh, gracias por unirte. Gracias. Es un placer estar aquí. Así que eres hotelero. ¿Verdad? Has pasado por muchos años de trabajo en las trincheras de la hostelería para llegar a donde estás hoy. ¿Puedes darnos quizás una pequeña pista de todos los trabajos que has hecho en hoteles? Absolutamente. Así que empecé a trabajar con Accor en dos mil dieciséis, para Novotel. Trabajé en el escritorio de recepción, como agente de recepción de huéspedes, pasé a desempeñar una especie de rol híbrido entre recepción y alimentación y bebidas. Así que usamos un PMS in situ, un POS de la vieja escuela. Luego pasé a ventas. Por eso me hice manager de ventas. Así que vuelve a ocuparte de conferencias y eventos. Allí también hay un sistema de la vieja escuela realmente duro. Bueno, sólo estoy pensando en ello. Desempodera. Si no recuerdo mal era Digi. Creo que se llamaba. Nunca he trabajado allí con ése. No es divertido. Pero entonces sí. Luego, por supuesto, en dos mil dieciocho me trasladé a Hoteles Penta. Allí empezó como manager de servicios para huéspedes. Así que cuida de todas las operaciones del hotel. Me ocupaba de la alimentación y bebidas, recepción, cocina, departamento de limpieza y mantenimiento, lo cual era muy divertido. Y luego, en el año veintidós, se trasladó a nuestra oficina central de apoyo en Fráncfort, pero desde su casa en el Reino Unido. Qué bien. Así que, sí. Pero hoy toda tu arquitectura está en la nube. Si trabajas desde casa, supongo que hoy sólo estás en sistemas en la nube. Sobre todo. Tenemos un par que todavía estamos eliminando. Sistemas de cerraduras de puerta o como ¿qué son esos sistemas? Sistemas de cerraduras de puerta, ERP financiero que intentamos regalar. Por supuesto. Esa es la otra. Sí. Pero sobre todo ahora, en esta fase, porque nos complace decir que, desde la semana pasada, hemos terminado nuestro despliegue en Mews. Bonito. Enhorabuena por el lanzamiento. Nos ha llevado mucho tiempo desde los primeros pilotos hasta conseguir desplegar toda la cadena. Pero ha sido un proyecto de pasión personal para mí involucrarme realmente en esto y me encanta la energía que he sentido de la marca y cómo habéis acogido lo que os hemos aportado. Así que gracias por hacerlo con tanto éxito. Sí. Pero gracias. Han sido tres meses realmente emocionantes. No ha sido fácil. Nunca lo es. Sí. Pero no Con la actitud adecuada, todo es posible. Y creo, sinceramente, que ahora empieza lo divertido, porque ya tienes el sistema adecuado para empezar a construir sobre él. Y creo sinceramente que a partir de este momento todo irá a mejor. Sí. Creo que eso es lo que más han notado los hoteles. Es el hecho de que podemos decir, oye, podemos construir sobre esto tan rápidamente en comparación con antes, cuando estábamos como, oh, si queremos desarrollar algo o que nuestro socio PMS añada algo, tenemos que esperar seis meses. Sí. Puedo activar esta integración en diez segundos. ¿Sabes? Es alucinante para ellos. Es una auténtica locura. Y tu cargo es manager de sistemas operativos. Mientras que la mayoría de los hoteles tienen un departamento informático tradicional que gestiona las impresoras, los ordenadores y el servidor, tu papel parece ser algo distinto al de un informático. ¿Puedes explicarlo? Sí. Así que tenemos un departamento digital que se centra realmente en todo, una especie de núcleo informático, es decir, el hardware real, el aspecto de la red. Pero lo que hicimos fue separar un equipo de sistemas que son los verdaderos expertos, y digo expertos, pero expertos en la materia, porque sabemos mucho de todos estos sistemas, como PMS, POS, y cómo utilizarlos mejor, porque los hemos vivido y respirado. Ya sabes, en mi caso he utilizado, como he dicho, el PMS desde hace diez años. Sí. Y sí, luego tengo a mi colega conmigo y también es muy buena. Así que tenemos a estos expertos en la materia que fueron estupendos para entrar en los hoteles y saber exactamente de qué estamos hablando y realmente abordar y desarrollar y construir sobre estos sistemas. Bonito. En comparación con el típico equipo informático que quizá sea experto en redes, pero no tanto en hoteles. Sí. Expertos en software en la nube. Sí. Que entiendan qué ocurre en las operaciones y qué sistemas necesitas para apoyarlas. Capítulo El incidente del ciberataque Sí. Así que el tema de hoy gira en torno a la seguridad. Y recuerdo que veintiuno fue el año en que sufristeis un ciberataque bastante grave. ¿Puedes compartir lo que ocurrió? Sí. Así que fue el siete de octubre de veintiuno, que fue el día en que mi hijo. Ahora recuerdas esa fecha para siempre, ¿verdad? Sí. Fue el día en que nació mi hijo. Por eso. Sí. Así que fue un gran día y un día terrible al mismo tiempo. Recuerdo que estuve en el hospital. Mi hijo acababa de nacer. Todo fue estupendo. Y de repente mi teléfono se vuelve loco y pienso: "Sujeta al bebé". Deja que realice el check-in. Y entonces vi Nos han pirateado. Todo no funciona. Todo ha caído. En esa época, yo trabajaba en uno de los hoteles. Por mi parte, no trabajaba a nivel central, pero los mensajes empezaron a llegar desde nuestro departamento central. Decían: coge todo el hardware que tengas, todos los ordenadores, todos los portátiles, tíralo todo a la basura. Y nos preguntábamos: ¿qué demonios está pasando? En aquel momento utilizábamos un PMS in situ. Así que estábamos como, ¿pero cómo podemos trabajar? Decían: "No puedes". Decían: tenemos que dejar de trabajar. Apágalo todo. Cierra las puertas. Echa a todo el mundo. Hecho. Vaya. Esto es una locura. Así que como preguntamos ¿Cómo habían conseguido acceder a los sistemas? Era lo que llamamos una configuración MPLS de la vieja escuela. Así que multiprotocolo, conmutación de etiquetas. Así que básicamente teníamos, una tecnología de red en la que básicamente todo pasa a través de los demás. Así que todas las redes se cruzaron. Así que, básicamente, en cuanto estos hackers consiguieron acceder a un elemento de nuestro sistema, tuvieron acceso a toda nuestra infraestructura. Y a partir de ahí, recorrieron libremente toda nuestra red. ¿Y sólo abordaron el acceso de una persona a esa red? ¿O cómo entraron? Sí. Fue literalmente a través de un único acceso singular. Y a partir de ahí, como has dicho, tenían acceso a todos los servidores, a todas las máquinas virtuales, a todos los ordenadores. Nos desactivaron el antivirus, y entonces fue cuando nos metieron el ransomware. Eso es una locura. Y luego me imagino que si diriges un hotel, no tienes ningún sistema para realizar el check-in de la gente. Probablemente ni siquiera sabías quiénes serían los huéspedes a su llegada, a menos que hubieras impreso los informes de reserva. Sí. Por suerte, éste era un protocolo bastante estricto que teníamos en el servicio del hotel. Al menos en su día, eran uno de los elementos que considerábamos de máxima ciberseguridad. Pero ahora que miro atrás, es una locura. Pero, sí, es decir, sólo para ese día, teníamos al menos el informe de llegadas. Pero recuerdo que teníamos que ir a los supermercados locales, teníamos que comprar portátiles de supermercado, teníamos que conectar nuestros codificadores de llaves mediante cables VGA. Nada pudo permanecer en la red en absoluto. Literalmente, lo gestionábamos todo a partir de qué momento. ¿Cuántos días? Hicimos esto durante una semana entera. ¿Para toda la cadena? Sí. Todos los hoteles de seis países diferentes. Así que, a partir de ahí, una vez que empiezas a conectarte, empiezas a llevar a cabo una acción posterior o postmortem, que llamamos noticias a esta aplicación, en la que empezamos a preguntarnos cómo ha ocurrido esto y cómo podemos evitar que siga ocurriendo. ¿Qué salió de esas reuniones? Como, ¿cuál fue el mayor cambio de estrategia que tuvisteis diciendo que tenemos que cambiar nuestra forma de pensar sobre la tecnología? Sí. Es decir, lo revisamos todo por completo. Entonces empezamos a trabajar con un socio informático externo y realmente cambiamos nuestro equipo informático, que pasó de ser sólo informáticos a expertos digitales. Y tuvimos que construir lo que llamamos estos seis pilares y ahora es un tema realmente importante. Porque ahora tenemos estos seis pilares que son: proteger, prevenir, detectar, responder, recuperar y revisar. Y en cada uno de ellos creo que tenemos como veinte, veinticinco pasos y elementos diferentes que hemos puesto en marcha para controlar realmente todo lo relativo a la seguridad. Capítulo Medidas de seguridad actuales Es ¿Y crees que hoy estás en mejores condiciones para evitar que vuelva a ocurrir? Ah, sí. Eso creo ahora. Si hablamos en términos de como proteger, tenemos desde como acceso condicional hasta como restricciones de IP y filtrado de contenidos web. Luego tenemos la detección Puede que no entiendas lo que acabas de decir. ¿Qué es una restricción de IP, por ejemplo? Así, por ejemplo, lo que decimos es que sabemos que todo el mundo trabaja en nuestros hoteles de Alemania, por ejemplo. Si una de esas personas selecciona su portátil y vuela a Canadá e intenta registrarse, no podrá hacerlo. Porque tenemos que detectar dónde algo no es muy común, algo no es normal. Y cuando vemos eso decimos: no, no puedes hacer nada. En primer lugar, tiene que pasar por comprobaciones y aprobaciones para asegurarse de que puedes trabajar. Vaya. ¿Qué otras cosas has puesto en marcha? Así que creo que también, obviamente, como escanear la red, monitorizarla. Así que, literalmente, ahora tenemos una empresa de terceros que, literalmente, vigila constantemente toda la red. Así que cada usuario, cada ordenador, cualquier cosa que se marque que sea remotamente, ya sabes, peligrosa, entonces parece que instantáneamente apagarán todo ese dispositivo o a todo ese usuario. ¿Y ocurre esto a menudo, que dejas a alguien fuera de su dispositivo? Ahora pienso todos los días. ¿Todos los días? Sí. Porque es increíble todo lo que ocurre ahora. Lo vemos con, por ejemplo, estafas falsas profundas y el correo electrónico de una persona es pirateado y entonces el director general está enviando un correo electrónico pidiéndote que transfieras un millón de millones de euros. Es increíble. Sí. ¿Pero ves que los miembros del equipo están ahora hiperconcienciados al respecto o requiere una formación constante? Creo que a un nivel más alto es muy conocido, pero cuanto más bajas en la escala, más gente dice: "Has activado la autenticación de dos factores". Esto es muy molesto. Tardo mucho en registrarme en mi sistema. Sí, pero si realmente vieras detrás de las puertas lo que hacemos y por qué lo hacemos, y creo que ésa es la concienciación que intentamos impulsar. Porque, ¿cómo llevas a la gente por ese camino? Como a través de la narración de historias la gente dice, oh, vale. Por tanto, aquí hay una Historial. Hay una razón por la que hacemos esto. ¿Cómo atraes a la gente? Porque es un tema muy difícil de conseguir el engagement de la gente. Sí. Así que hacemos una especie de revisión anual del evento. Así que cada 7 de octubre, volvemos a sacar el tema y decimos, oye, esto ha pasado. Este es nuestro triste momento Historial. Pero además de eso, también tenemos la típica formación, pero intentamos hacerlo de una forma más atractiva. Tenemos un socio muy interesante que utiliza un software de formación mucho más atractivo. Así que es como una elección múltiple. Son preguntas de concurso más atractivas que las típicas presentaciones de diapositivas. Sí. Y nuestro departamento informático también hace un fantástico intento de campaña de phishing. Cada semana o cada dos semanas, enviarán un correo electrónico falso a todo el mundo. Vemos cuántas personas hacen clic en él, cuántas personas abren el adjunto. Estas cosas son muy chulas de ver. Cuanto más avanzamos, menos gente hace clic en esas cosas. Porque, ¿cómo recomendarías, ya que tuviste un evento crítico en el año veintiuno, que se pudiera contar en toda la empresa y crear esa concienciación? Pero puede que muchos hoteles no hayan tenido un evento crítico tan importante. ¿Cómo recomendarías que abordaran este tema y consiguieran que la gente hablara de ajustes de seguridad, etcétera? Creo que lo más importante que deberían tener en cuenta no es la experiencia, sino qué haríamos en el caso de que ocurriera. Como intentar realmente ponerse en el marco mental de imaginar que mañana perdemos el acceso a todo. Que alguien pone, una encriptación en todos nuestros datos y tenemos que pagarles o nos piden que les paguemos. Sí. ¿Cómo lo manejaríamos? Y si te dicen, oh, no lo sabemos, entonces tienes un problema. Sí. Y luego tienes que sentarte y hacer ejercicio. Como si fuera un buen rol para hacer con el equipo diciendo: Bien, estamos en un escenario de crisis. Tenemos tres horas y en tres horas se cortará todo acceso. O incluso ahora el acceso está cortado. ¿Cómo rolearías esto? Y es muy interesante ver cómo responde la gente. Recuerdo cuando trabajaba en hoteles, y nos preguntaban esto porque cuando te forman como manager, te dicen, bueno, ¿qué harías tú? Y teníamos hojas de Excel configuradas en nuestros ordenadores desde las que realizábamos todos los check-in y los check-out. Y pensé que esto es una locura. Esto nunca va a ocurrir. Pero ocurrió. Y cuando ocurre, estás muy agradecido por esa formación. Por supuesto. Sí. Es, como he dicho, aún puedo recordarlo. Por suerte, en aquel momento estaba de baja por paternidad, pero, aun así, trabajaba mucho desde mi teléfono y escuchaba al equipo decir que lo hacíamos todo desde WhatsApp y que esto era una locura, y ya sabes que en aquella época no teníamos el mejor tipo de software porque, como he dicho, utilizábamos soluciones locales. Pero, en tu opinión, ¿por qué on premise es menos seguro que en la nube? Quiero decir, necesitas cosas, necesitas ciertas configuraciones, como VPNs, y tienes que tener este servidor físico instalado en tu hotel, y entonces eres responsable de mantenerlo todo, y está bien si eres una gran empresa, pero si eres una pequeña empresa, no estás ahí sentado pensando en cómo pueden infiltrarse en tu red. No estás pensando en el cumplimiento de normas como ISO y SOC dos. No piensas en esas grandes cosas como si fueras una pequeña cadena o una pequeña propiedad. Por tanto, dar ese tipo de responsabilidad a alguien que lo tiene todo controlado, siempre que sea un buen marco, creo que te tranquiliza un poco más. Sí. Recuerdo que a menudo me he reunido con hoteleros y hemos debatido sobre on prem frente a cloud, y los propietarios decían: "Sí, pero al menos sé dónde está mi servidor". Puedo controlarlo. Me dije, sí, pero eso también significa que otros que quieran hacer el mal sabrán dónde está tu servidor y podrán acceder a él. Mientras que en la nube, es como si nuestros servidores fueran Microsoft y probablemente fueran los servidores mejor protegidos del mundo, frente a una habitación de administración con cerradura. Y, es esa mentalidad la que estamos intentando superar, pero es un reto realmente difícil mantener esta conversación. Sí. No. Me lo imagino. Es decir, a veces incluso hay habitaciones de servidores que tampoco tienen cerradura. Si estás acostumbrado a eso, es, pero, sí, también. No deberías ser responsable de tener que entrar y reiniciarlo manualmente y de tenerlo en la red expuesto y Sí. Sobre todo cuando hoy en día hay tantas opciones para tenerlo de verdad. No hay ninguna razón. Sí. Por ejemplo, alojado con Azure o cosas así. Y en los últimos años hemos visto un aumento de los ataques de phishing contra la hotelería. Y no es sólo contra Mews. Va contra cualquier empresa que opere con datos de huéspedes realmente sensibles. ¿Has visto que algo de esto ocurra en Penta en este momento, o has sido bendecido hasta ahora? Desgraciadamente, no. Capítulo Ataques recientes de phishing en la hotelería Lo hemos visto, y bastante recientemente. Tenemos una especie de empresa propietaria y, por desgracia, una de las direcciones de correo electrónico quedó al descubierto. Sí. Y con eso de nuevo, se envían correos electrónicos a todo el mundo, oye, necesito que se haga esto, esto, esto. Y, por supuesto, si procede de esa dirección de correo electrónico, estarás más que encantado de decir: vale, entonces edito a esa persona. Parece que está bien. Y te limitarás a hacer lo que se te pida. Y ya sabes, no somos sólo nosotros. Hemos visto correos electrónicos de otros hoteleros u otros proveedores que tienen el mismo problema. Y como sólo viene de esa dirección de correo electrónico que quizá has enviado cinco mil veces en los últimos tres años, ni siquiera piensas en ello. No. De verdad que no. Simplemente asumes que es correcto. Y recibimos tantos correos electrónicos que das por hecho que tienes que hacer clic en todo. Y, por suerte, tienes configurado este sistema informático en el que haces, ya sabes, phishing fabricado en el que creas los intentos de phishing para ver si puedes engañar a tus empleados, y luego eso te lleva a la formación. Y creo que ésa es probablemente una de las mejores formas de impulsar esa educación. Pero eres tan fuerte como tu eslabón más débil, y eso es realmente cierto. Y, como, mantener los ajustes de quién tiene acceso a qué es tan crítico para revisar realmente, ¿necesitan estas personas derechos administrativos sobre el sistema o estarían bien sin eso? Y esa es una de esas cosas que te hacen retroceder mucho, porque los de operaciones dirán: "Sí, lo necesito porque tengo que hacer estas cosas". Y tú dices, no creo que lo hagas realmente, pero es una conversación difícil, supongo. Capítulo La importancia del control de acceso Sí. Ocurre más o menos. Si hablo por experiencia, esta misma mañana he recibido tres peticiones diferentes. Oye, necesitamos acceder a esto según este permiso o esta persona necesita acceder a este permiso. Y cuanto más te demos, más exposición habrá, ya sabes. Si como has dicho, si esa única persona, alguien consigue acceder a su cuenta, entonces cuantos más permisos le demos, más podrá hacer con ella. Sí. Y has mencionado que estás al cien por cien con la autenticación de dos factores. ¿Estás pensando en utilizar claves de acceso u otras formas de proteger los sistemas? Sí. Por tanto, teníamos un panorama de sistemas bastante amplio si hablo de los últimos años. Ahora lo estamos condensando, que era como el motivo por el que lo hicimos todo con Mews en los últimos meses. Pero creo que llegamos a tener en un momento dado como setenta y cinco sistemas o aplicaciones diferentes en uso en todos los departamentos, e intentar habilitar la 2FA, el SSO y todas estas cosas en todos ellos ha supuesto mucho trabajo. Sí. Pero algo en lo que también estamos intentando trabajar ahora es en un manager de claves de acceso. Así que tenemos bastantes usuarios centrales que lo utilizan, pero ahora queremos desplegar un manager de contraseñas para todos los usuarios. Todo eso está bien. Lo que significa que sólo aparecerá para que introduzcas esas credenciales si estás en la página web correcta. Así que si accidentalmente buscas en Google, Mews login y vas a Mews con dos eses punto com, entonces no va a autocompletar tu contraseña y te vas a parar a pensar, Oye, algo no va bien aquí. Sí. Así que eso ya está en proceso y es algo que definitivamente estamos poniendo en marcha. Sí. El escenario que acabas de explicar, es algo que vemos todos los días que ocurre. Así que tienes estas, estas granjas de phishing en países lejanos en el este que están dirigidas a atacar a empresas. Y crearán una página web falsa que sólo tiene un error ortográfico en la URL. Y luego trabajan con Google para impulsar AdWords con su anuncio y parece cien por cien legítimo cuando haces clic en él. Y sólo una vez que has hecho clic en él y has entrado en la página web, la URL está ligeramente desviada. Pero la página de inicio de sesión tiene exactamente el mismo aspecto que Mews. Sí. Y por suerte porque cuando tienes un manager de contraseñas, no ve como, no reconoce la página web, por lo que no te daría la contraseña. Pero muchos hoteles no tienen estas cosas. Han memorizado su contraseña y utilizan la misma contraseña en todos los sistemas. Así, en el momento en que hayan capturado tu contraseña, podrán registrarse también en todos los demás sistemas. Y aquí es donde, ya sabes, la autenticación de dos factores, el inicio de sesión único o la clave de acceso son, como, estas hermosas soluciones que protegen a los hoteles. Pero ha sido una batalla. Cuando implantamos la autenticación de dos factores, puedes imaginarte el odio que recibimos de los hoteleros en plan "nos hacéis la vida imposible". Yo decía que no. Protegemos los datos de tus huéspedes. Pero a los hoteleros nos gusta registrarnos en los sistemas lo más rápido posible. Por supuesto. Lo sigo viendo incluso ahora. Como ya he dicho, he estado en la propiedad durante las últimas nueve o diez semanas viajando para difundir noticias y todavía se ve a gente escribiendo contraseñas en notas adhesivas. Y tú dices, ¿qué estás haciendo? Sí. Es increíble. Pero no, creo que, también con la Clave de acceso Mews , estamos intentando inculcarles algo de información. Pero si utilizas Mews clave de acceso, es un inicio de sesión de un solo clic. No tienes que esperar a encontrar tu código en tu aplicación de autenticación, pero también es una capa adicional de protección. Capítulo Tecnología Clave de acceso Nunca entendí muy bien qué era Clave de acceso hasta que empecé a utilizarla y, básicamente, es un inicio de sesión biométrico. Así, con tu manager de contraseñas, configuras un inicio de sesión biométrico. Así, cada vez que te registras en tu ordenador, lo haces con tu escáner facial o con tu huella dactilar, y no pueden copiarlo. Eso es imposible de copiar. Así que es la forma más segura de registrarse en cualquier cosa. Y todos tenemos Clave de acceso. Todos tenemos un smart like, no hay persona que yo conozca que no tenga un smartphone, con estas cosas instaladas. Y es realmente increíble. Y justo la semana pasada vi que incluso ahora WhatsApp ha configurado la clave de acceso, y me dije, oh, han estado vigilando nuestros blogs. Está muy bien que por fin se den cuenta de que esto es el futuro. Pero yo diría que si haces algo, es aplicar la clave de acceso y asegurarte de que el inicio de sesión biométrico es la única forma de hacerlo. Este fin de semana he tenido un éxito porque he comido con mi madre y mi padre, y por fin he conseguido que mi madre utilice Apple Pay. Vaya. Y yo porque era como, es biométrico. Por ejemplo, cada vez que pagas, el dispositivo sabe que eres tú gracias a tu reconocimiento facial. Pero he estado luchando contra eso durante un par de años. Así que esa es mi gran victoria de esta semana. Sí. Sigo teniendo esa lucha cuando voy mucho a Alemania. Por eso, en el Reino Unido, llevar una cartera se considera incluso una locura. Sí. Como si fuera sólo Apple Pay o Android o como Google Pay en todas partes. Sí. Entonces recuerdo que la primera vez que fui a Alemania, me subí a un taxi y el tipo me dijo: sólo en efectivo o si realmente lo revientas es PayPal. Y yo estaba como PayPal. ¿Qué está pasando? Fui a una tienda y me dijeron: sí, es en efectivo o necesitas una tarjeta física. No aceptamos Apple Pay. Yo estaba como, esto es una locura. Así que los hoteles Penta nos dicen ahora totalmente en la nube habilitado con ajustes de seguridad. ¿Qué es lo Siguiente? ¿Qué es lo que más te entusiasma desde el punto de vista de la seguridad? Capítulo Seguridad en entornos compartidos Creo que a partir de aquí se trata más bien de escalar. Como ya he dicho, algo tan sencillo como, con las llaves de paso, no pasa nada. Como si alguien tiene un dispositivo personal, ¿no? Porque tienes una cámara en tu portátil o un escáner de huellas dactilares en tu portátil. Pero muchos hoteles probablemente se sentarán y pensarán, ¿qué pasa con los ordenadores de recepción en los que todo el mundo comparte un inicio de sesión? No hay, no hay portátil. Es un ordenador de verdad. Creo que tienen que pensar que en realidad es bastante sencillo. Por ejemplo, puedes comprar las cámaras Windows Hello, que simplemente pegas encima de tu ordenador, las conectas y ya todo el mundo tiene reconocimiento facial. Sí, cada usuario tendría que tener su propia cuenta Microsoft, pero no se puede poner dinero ni costes por delante, como la protección de la ciberseguridad. Creo que eso es lo más importante que hemos entendido. Sí. Y como, ¿te gusta quién en la empresa te ha dado el derecho de presionar los ajustes de seguridad hasta ahora? ¿Quién es la persona que te permite tomar la iniciativa en estas conversaciones? Así que nuestro jefe de digital, es tan pro ciberseguridad, como la ciberseguridad. Y hemos mantenido conversaciones con nuestro equipo de liderazgo. Así que creo que, ya sabes, Victoria, ¿verdad? Sí. Y entonces ni siquiera necesitas dar una explicación. Dirás: "Eh, no, esto es absolutamente obligatorio en términos de seguridad". Y no podemos decir: "Oye, esto es demasiado caro". Sí. Sí. Como si pudieras ir muy lejos y decir que hemos puesto tantas medidas que es una locura. Pero incluso al menos la capa base, no puedes sentarte y pensar que es demasiado caro para nosotros hacerlo. Como el inicio de sesión único, a menudo hemos tenido una conversación porque el inicio de sesión único es toda una infraestructura que configuras donde gestionas todos los inicios de sesión de tus empleados en todos los sistemas. Pero en el momento en que el empleado se va, simplemente eliminas a la persona del inicio de sesión único, y se elimina de todos los sistemas maravillosamente. Pero es caro. Y para algunos grupos hoteleros más pequeños, ésta podría no ser la mejor solución. Por eso implantamos la Clave de acceso, porque pensamos que, al menos, el registro en el sistema es seguro, pero el inicio de sesión único es, con diferencia, lo mejor que se puede hacer. Pero tened una conversación sobre presupuestos antes de empezar a desplegarlo, porque no es barato. Sí. No. Cierto. Capítulo Inicio de sesión único en hoteles Y como ya he dicho, siempre que haya varias opciones disponibles. Sí. El SSO es, como has dicho, estupendo porque sólo hay que eliminarlo una vez, y luego se elimina en todos los sistemas en los que lo hayas habilitado. Sí. Y tenemos mucha rotación en nuestro sector. La gente se va. Esto es algo que ocurre todos los días. La gente siempre se olvida de dar de baja a las personas. Al igual que puedes eliminarlos del lugar donde te cuesta más dinero, como con Active Directory o Azure, donde pagas la tasa de licencia. Pero si tienes ese usuario en otros quince sistemas, alguien, en algún lugar, se olvidará de eliminarlo. Cada vez es un elemento de riesgo añadido y sigue construyendo un edificio. Y especialmente en estos tiempos, no puedes tener ninguna de esas, como, exposiciones. No. Josh, me ha gustado mucho la conversación. Puedo imaginar el estrés que os ha causado el veintiuno y ese ataque, pero me encanta cómo os lo habéis tomado como un momento de cambio, y os habéis apoyado en el cambio. Has adoptado la nube. Has adoptado ajustes de seguridad. Creo que has dicho un gran ejemplo para nuestro sector, que sufre el ataque constante de estos ciberdelincuentes. Así que gracias por compartirlo tan abiertamente. Creo que tener a gente como tú hablando de esto conseguirá, con suerte, abrir los ojos a algunas personas y que piensen que quizá hoy sea el día en que voy a cambiar estas cosas. Así que gracias por compartirlo. No. Ha sido un placer. Es, sin duda, algo sobre lo que tenemos que correr la voz. Bonito. Gracias. Gracias.