De acuerdo a una reciente encuesta global realizada a directivos del Foro Económico Mundial, los ciberataques son una de las principales preocupaciones para las empresas europeas (también en Asia Oriental, Pacífico y América del Norte los ciberataques son el principal riesgo). La sofisticación y agresividad no deja de crecer, y por ello hay que estar cada vez más preparado.

En ese contexto, turismo no es una industria que esté ajena a lo que pueda llegar a ocurrir. Inclusive, es una de las que más lo sufrió en el último año. Sean cadenas hoteleras o aerolíneas reconocidas, nadie está a salvo en un era en la que toda la información está al alcance de los “ladrones” informáticos. 

Caso testigo

Corría noviembre de 2018 cuando estalló la bomba: la base de datos de Starwood Hotels, que pertenece a Marriott (comprada por 13.600 millones de euros en 2016), había sido hackeada durante cuatro años y el pirata informático pudo obtener los datos de más de 500 millones de clientes de la cadena hotelera.

La cadena aseguró que una investigación iniciada en septiembre descubrió que alguien no autorizado había copiado y cifrado esos datos, y que había habido acceso no autorizado a la red de Starwood desde 2014.

Del total de esos 500 millones, por lo menos de 327 millones se habrían filtrado datos como nombres, direcciones postales y de correo electrónico, números de teléfono y pasaporte, fecha de nacimiento y sexo. En el resto de los 173 millones de clientes sólo se habría copiado el nombre, y en algunos casos, detalles como direcciones de correo electrónico y postal.

“Cualquier situación similar vivida por otra compañía es diferente, y nadie debe asumir que lo que le pasó a una empresa tenga que ser igual en otra”, dijo la directora financiera de la cadena hotelera, Leeny Oberg, en una conferencia de inversores organizada por Barclays.

También el hacker habría filtrado detalles de la cuenta Starwood Preferred Guest (SPG), una tarjeta de gama alta recientemente lanzada por el emisor de tarjetas de crédito American Express para viajeros regulares.

Según un informe de Morgan Stanley, Marriott tendrá que destinar al menos un dólar por cada cliente para comunicarle la incidencia y proveerle servicios para saber si su cuenta de cliente fue manipulada. Además de esos 500 millones también habría que sumar otros 200 millones en multas y gastos por posibles demandas.

Por otro lado, Bloomberg Intelligence eleva la factura hasta los 1.000 millones de dólares, monto en el que se incluye una posible multa de 450 millones (o el 2% de los ingresos brutos de 2017) por la regulación de protección de datos de la Unión Europea.

Aunque en menor medida, y hace ya un par de años, Hilton también sufrió un ataque cibernético. El mismo involucró a clientes que usaron sus tarjetas de crédito en los hoteles o en locales dentro de ellos. La cadena investigó el caso, ya que todo parecía indicar que atacantes comprometieron registros de puntos de venta de tiendas de regalos, restaurantes y cafés situados en hoteles Hilton, así como en locales de franquicias en los Estados Unidos, según reportó el periodista Brian Krebs.

Inclusive, Visa participó de la investigación junto a cinco Bancos, y se concluyó que las tarjetas que presentaron actividades sospechosas o irregulares tienen en común haber sido usadas en alguno de ellos, incluyendo, además, a Embassy Suites, Doubletree, Hampton Inn & Suites y los hoteles de lujo Waldorf Astoria Hotels & Resorts.

En el cielo como en la tierra

Uno de los casos más resonantes también fue el de Air Canada, que padeció un embate a su App, lo cual derivó en el robo de la información personal de 20 mil personas. “Detectamos un inicio de sesión inusual en nuestra aplicación móvil entre el 22 y 24 de agosto. Tomamos inmediatamente las medidas necesarias para bloquear estos ataques e implementamos protocolos adicionales para proteger las cuentas contra intentos no autorizados en el futuro”, publicó la aerolínea. 

Además de la declaración pública, tuvieron que comunicarse con los afectados vía mail, a quienes se les aseguró que los datos crediticios estaban a salvo, ya que permanecen encriptados. Pese a esto, recomendaron a sus clientes mantenerse al tanto en caso de que haya transacciones bancarias inusuales en sus cuentas.

Respecto a la información de los pasaportes, Air Canada aseguró que el riesgo de que una tercera parte pueda obtener un pasaporte con un nombre robado es muy bajo, siempre y cuando las personas aún tengan su propio pasaporte y documentos de identidad. 

Entre los datos que sí pudieron ser afectados están nombres, cuentas de correo, números telefónicos y posiblemente números de pasaporte, país de origen de los pasaportes, fecha de vencimiento, nacionalidad, país de residencia y fecha de nacimiento.

El mismo estupor se generó cuando British Airways, filial de IAG (compañía dueña también de Iberia) anunció que su página web y su aplicación móvil fueron hackeadas entre los días 21 de agosto y 5 de septiembre.

Los ladrones se llevaron miles de datos de sus clientes, cerca de 380.000 usuarios a los que no sólo habían robado sus datos personales, sino también la información de sus tarjetas bancarias. 

Otro empresa afectada: Delta Air Lines. En abril reconoció que parte de la información de pago de sus clientes podría haber sido violada en un ciberataque el otoño pasado. Sin demasiadas precisiones al respecto, sugirió que el incidente involucró a un proveedor de servicios que utilizan tanto ellos como otras compañías.

Sin embargo, aclararon que solo un “pequeño grupo” de clientes se vio afectado, con su información de pago expuesta entre el 26 de septiembre al 12 de octubre. Tampoco se se vieron afectados otros datos personales sobre clientes, como su identidad, su número de pasaporte, información de seguridad social o información de cuenta de viajero frecuente.

La compañía de servicios (24) 7.ai con sede en San José, California, que fue hackeada, dijo que un “pequeño número” de sus clientes tenía su información de pago en línea del cliente potencialmente expuesta. 

Aunque estén lejos

Quien también sufrió esta modalidad de ataque fue Cathay Pacific, la aerolínea de Hong Kong. A través de sus autoridades comunicó que le  robaron los datos personales de (nada más) 9,4 millones de clientes. 

Se podría conjeturar que la sacaron barata, como se dice por estos pagos. Más si se tiene en cuenta el mercado en el que se desarrolla, uno de los más fuertes e incipientes a nivel mundial. De acuerdo a la OMT, con 343 millones de llegadas de turistas internacionales, el turismo aumentó un 6%en las regiones de Asia y el Pacífico.

Entre la información robada que dieron a conocer a los medios especializados, se incluyen números de pasaporte, direcciones de correo electrónico, número de tarjetas de identidad, detalles de tarjetas de crédito vencidas y el historial de viaje de millones de pasajeros. Es así que la modalidad y el objetivo se repite, como en loop.

Rupert Hogg, director de Cathay Pacific, pidió disculpas por lo ocurrido y manifestó que no había indicios del uso indebido de la información robada. El ejecutivo también aseguró que encararía una profunda investigación, pero en compañía de una empresa líder en ciberseguridad. La intención, sostuvo, es “reforzar aún más” sus medidas de protección. ¿Será suficiente?

Por lo pronto, su director general para España e Italia, Justin Chang, aseguró en la última edición de FITUR que 2018 fue un año “fantástico para la compañía en el mercado español”, con un sólido crecimiento en las dos rutas que unen Hong Kong con Madrid y Barcelona, respectivamente.

No se salva nadie

Ahora, bien. A las aerolíneas y a los hoteles habría que sumar las agencias de viajes. Recientemente hubo varias afectadas en Francia, pero poco trascendieron, por su dimensión y su popularidad. 

Pero lo que sí llamó la atención fue lo que le ocurrió a la agencia online Orbitz, perteneciente a Expedia. 

El año pasado la poderosa compañía ha reconocido que “los datos de tarjetas de créditos de 880.000 usuarios se han visto comprometidos”. Dicho en lunfardo, les robaron datos de miles de personas. 

Según informaron, “se ha visto expuesta la información personal de las personas que hicieron compras entre el 1 de enero de 2016 y el 22 de diciembre de 2017”.

Desde Orbitz han explicado que los datos que probablemente estuvieron expuestos incluyen el nombre, la información de la tarjeta de pago, la fecha de nacimiento, el número de teléfono. También la dirección de correo electrónico, la dirección física o de facturación y el sexo. Como se puede observar, la secuencia sobre cuál es el objetivo se repite. 

Las certezas no abudan, como suele ocurrir en estas circunstancias. 

Es necesario aclarar, eso sí, que el sitio web actual de Orbitz.com no estuvo involucrado en el incidente. Menos mal que avisan. 

“Estamos ofreciendo a los individuos afectados un año de seguimiento crediticio gratuito y servicios de protección de identidad en los países en que esté disponible”, plantearon desde Orbitz.

“Hasta la fecha no tenemos evidencia directa de que esta información personal haya sido tomada realmente desde la plataforma y tampoco hay evidencia de acceso a otros tipos de información personal, como pasaportes e información del itinerario de viaje”, señaló la empresa a la agencia Reuters, en un claro intento por desactivar la bomba que les estalló. Y que no se vieron venir por ningún lado. 

Consideraciones finales

La ciberseguridad, consideran los expertos, no es un producto. Todo lo contrario, lectores y amantes del tema, es un proceso, largo, sinuoso, cambiante y por tal, nunca es seguro al 100%.

El nivel de protección, concuerdan varios analistas, debe ser acorde al valor de los datos que se quieren proteger. 

Un dato para poner en contexto la situación que atraviesa todas las industrias que apelan a la tecnología: el 16 por ciento de los proveedores totales de las organizaciones se conectan a los sistemas de esas organizaciones sin ningún tipo de revisión previa.

A tener en cuenta: el Malware es una importante fuente de ingresos para los ciberdelincuentes. Todo tipo de usuarios y empresas han sido (o serán en algún momento) víctimas de estos ataques. Habrá que prestar especial atención a los dispositivos móviles, porque el malware móvil está en auge. Lo mismo sucede con las Redes Sociales que son verdaderas autopistas para los ciberataques.