Movilidad profesional y hoteles: ¿está garantizada mi seguridad?

4 marzo 2016

5 min read

Un profesional de la movilidad tiene que viajar a menudo por motivos de trabajo y alojarse en establecimientos hoteleros de todo tipo ¿Está garantizada la seguridad digital en los hoteles?

 

Cada año que pasa, más y más usuarios y profesionales son víctimas de robo de datos e invasiones de la privacidad en estos establecimientos. Por no hablar del robo o extravío de equipos informáticos, en una lacra que se cuenta por millones de unidades anuales a lo largo de todo el mundo, con especial incidencia en equipos premium como Ultrabooks o convertibles, y smartphones de gran valor.

Si no quieres que tu estancia en un establecimiento hotelero se convierta en una pesadilla por una violación de la seguridad digital, privacidad, robo de datos o algo peor, hay tres cuestiones básicas a observar para mejorar la seguridad digital en los hoteles.

Pagos digitales

2014 fue el año de las violaciones de datos. Los ciberataques a servicios comerciales de Internet, entidades financieras, empresas estratégicas, gobiernos y grandes minoristas, fueron constantes a lo largo de año y provocaron una cantidad de robo de datos como no se recordaba. 2015 no fue mucho mejor y los establecimientos hoteleros no fueron inmunes a todo ello.

La presencia de malware en TPV (terminales de punto de venta conocidos en inglés por su acrónimo POS) está aumentando de forma alarmante, confirmando las previsiones negativas que hablaban de triplicar las 198 brechas de seguridad registradas en 2014. Un gran peligro para los vendedores no adaptados o con medidas de seguridad insuficientes que se traslada a los clientes.

El malware en TPV tiene una motivación esencialmente económica y está diseñado para robar los datos de las tarjetas de pago de los clientes. Para ello, los ciberdelincuentes aprovechan cualquier vulnerabilidad de los terminales, de su sistema operativo o de los protocolos utilizados para ejecutar las transacciones entre TPV y los servidores, para introducir software malicioso que permita el robo de datos, por cualquier técnica de ataque.

Los ataques contra estos puntos de venta están a la orden del día y son un objetivo preferencial de los cibercriminales. Lo vimos en 2014 en la violación de la seguridad digital en hoteles de gran prestigio como Hilton, Marriott y Sheraton Westin, que vulneró datos personales y financieros. Recientemente, a finales de 2015, el grupo Hyatt Hotels notificó a sus clientes que los números de tarjetas de crédito y otros datos sensibles podían haber sido robadas después de encontrar malware en los ordenadores que procesan los pagos de clientes.

Como huésped hay poco que un cliente pueda hacer al respecto porque el hotel es el responsable de garantizar la seguridad digital, aunque se pueden tomar algunas precauciones. En primer lugar, siempre hay que pagar con tarjetas de crédito ya que ofrecen más protección que las tarjetas de débito y, en segundo lugar, familiarizarse con cualquier signo que nos indique un robo de identidad para corregir el problema, por ejemplo, cancelando la tarjeta de forma inmediata.

Nunca confíes en las redes Wi-Fi públicas

Darkhotel, la Amenaza Persistente Avanzada (APT) descubierta por Kaspersky Lab, confirmó la inseguridad intrínseca de las redes inalámbricas públicas. Llevaría activa desde 2007 y se habría dedicada a obtener información privilegiada de ejecutivos y empleados de alto nivel alojados en hoteles de alta categoría.

Esta amenaza opera lanzando ataques dirigidos precisos con exploits avanzados Flash para vulnerabilidades de día cero, que evaden así las últimas defensas de Windows y Adobe. Pero también se propagan de forma imprecisa y masiva hacia objetivos indefinidos con tácticas de difusión peer-to-peer.

Una de las características más únicas e inusuales de este grupo es que durante varios años ha sido capaz de seguir y atacar blancos en movimiento mediante las redes de hoteles que sirven a los viajeros internacionales. Estos viajeros suelen ser ejecutivos de alto rango de varias industrias que hacen negocios y subcontratos con la región de Asia y el Pacífico, incluyendo directores ejecutivos, vicepresidentes, directores de ventas, encargados de investigación y desarrollo, entre otros.

Estudios posteriores demostraron lo cuidadosos que son los atacantes para esconder sus actividades: tan pronto como infectaron a un blanco, eliminaron sus herramientas de la vista de la red del hotel para mantenerse ocultos. Y si son capaces de realizar ataques tan avanzados como éste en redes de grandes hoteles, imagina el riesgo en un establecimiento más modesto.

La firma de seguridad Cylance descubrió la pasada primavera la vulnerabilidad (CVE-2015-0932) en varios routers modelo InnGate fabricados por la firma de Singapur ANTlabs. Una vulnerabilidad que permite acceso directo al sistema de archivos raíz d tae estos dispositivos de comunicaciones. A partir de ahí, un atacante podría acceder a los equipos conectados a la red Wi-Fi de los hoteles, incluir malware o extraer datos.

Los investigadores descubrieron cerca de 277 hoteles, centros de convenciones y centros de datos de 29 países que se ven afectados por esta vulnerabilidad de seguridad.

Solo son dos muestras de la inseguridad de estas Wi-Fi públicas. Pueden usarse siempre con cuidado y desde equipos protegidos con soluciones de seguridad y cortafuegos para navegación web intrascendente, pero nunca deberías utilizarlas para acceso a páginas web o servicios de Internet que requieran la entrada de datos personales y mucho menos corporativos o financieros.

Cajas fuertes

Las cajas fuertes de los hoteles no son tan seguras como podríamos esperar. Una investigación de G Data ha encontrado serias deficiencias de seguridad al analizar un modelo estándar de caja fuerte de hotel y por tanto recomienda no usarlas para guardar aquellas pertenencias que consideres de un valor irreparable.

G Data probó que la caja fuerte podría ser fácilmente abierta por distintos métodos. El más sencillo: introduciendo el código maestro que ofrece el propio fabricante y que, en muchas ocasiones, no ha sido modificado por los propios hoteles, lo que facilita al máximo la tarea a los ladrones.

Si el código ha sido modificado hay otras formas para abrirlas. Todas las cajas disponen de una llave de emergencia que se encuentra bajo la custodia del propio hotel que se usa cuando el viajero ha olvidado el código de seguridad que estableciera para abrir y cerrar su caja de seguridad o bien cuando abandona el hotel y la ha dejado cerrada. “Basta desatornillar una placa situada en la parte frontal de la caja para dejar totalmente al descubierto la cerradura… y abrirla sin demasiado esfuerzo usando una llave diferente”, dicen desde la firma de seguridad.

En el caso de apertura por código basta un cortocircuito para que la caja nos pida que introduzcamos un nuevo número y obviamente quede al alcance de un ratero.

Y lo peor no es que nos limpien nuestras pertenencias, ya que las cajas fuertes que pueden abrirse y cerrarse usando una tarjeta de crédito pueden manipularse para capturar los datos almacenados en las bandas magnéticas de las tarjetas usadas. La estafa es conocida como skimming y su uso se ha detectado en numerosas ocasiones en cajeros automáticos.

Las conclusiones de G Data es clara: por regla general el nivel de seguridad de las cajas fuertes más populares y que se ofrecen como servicio al viajero en hoteles es básico y es relativamente fácil abrirlas sin tecnología compleja, por lo que recomiendan a los turistas y profesionales no usarlas para guardar aquellas pertenencias que considere de un valor irreparable.