Se insta a las empresas hoteleras a fortalecer sus prácticas de ciberseguridad tras un aumento significativo de los ataques de phishing dentro de la industria.
Los ciberdelincuentes atacan activamente los sistemas de gestión de propiedades hoteleras y los canales de reserva en un esfuerzo por recopilar credenciales, obtener acceso no autorizado y, en última instancia, explotar los datos comerciales y de los huéspedes.
En respuesta a esto, los gigantes de hostech, Guestline, parte de Acceso a HospitalidadMews, HotelTime y Planet han compartido una descripción common del panorama precise de la industria y cómo las empresas pueden protegerse.
El aumento de los ataques de phishing en la hostelería
Los gigantes de Hostech, incluidos Entry Hospitality, Mews, Lodge Time y Planet, han revelado su opinión sobre lo que están sucediendo actualmente en la industria.
Nicola Longfield, directora common de alojamiento de Entry Hospitality, cube: “Los ciberdelincuentes atacan activamente los sistemas de gestión de propiedades hoteleras (PMS), los sistemas de correo electrónico y los canales de reserva. Envían correos electrónicos que parecen provenir de fuentes legítimas, incluidas plataformas OTA o sistemas internos, diseñados para engañar al private para que ingrese información de inicio de sesión o descargue malware”.
“Empiezan engañando a los empleados que gestionan las reservas de resort para que inicien sesión en un sistema falso. Lo hacen creando copias casi idénticas de las páginas de inicio de sesión del sistema e incluso comprando nombres de dominio similares para atraer a usuarios desprevenidos. Los actores de amenazas están utilizando anuncios de Google para colocar sus sitios en la parte superior de la página.
“Una vez que obtienen acceso mediante credenciales robadas, los atacantes pueden enviar confirmaciones de reserva falsas o correos electrónicos de phishing a sus huéspedes, dañando la confianza y exponiendo información confidencial de los huéspedes..”
Jan Hejny, director ejecutivo de Lodge Time, se sumó a la conversación y dijo: “En todo el sector hotelero, los ataques de phishing son cada vez más específicos y contextuales. Los estafadores se hacen pasar cada vez más por marcas confiables como hoteles, plataformas de reservas o proveedores de tecnología, imitando a menudo escenarios reales de pagos o reservas.
“El uso de la urgencia, por ejemplo, pagos fallidos o cancelaciones inminentes, es una táctica común que presiona a los destinatarios para que actúen antes de verificar la solicitud”.
Cuando se le pregunta sobre la situación precise y cómo está respondiendo la industria, Richard Johnson, director de seguridad de la información de Planet, comenta: “Trabajamos junto con los equipos de hostelería para gestionar y reducir el riesgo. Planet trabaja activamente con nuestros socios de seguridad y con las autoridades para identificar, interrumpir y acabar con actividades fraudulentas, incluidos sitios internet que se hacen pasar por empresas legítimas.
“El fraude es una operación de tiempo completo para delincuentes que buscan ganancias rápidas. Al compartir inteligencia rápidamente y generar conciencia colectiva, continuamente les hacemos más difícil tener éxito”.
Los pasos que las empresas pueden tomar para proteger su negocio
Ian Trzoska, analista de seguridad de Entry Hospitality, comenta: “Estos Los ataques pueden resultar en cuentas de resort comprometidas, envío de comunicaciones fraudulentas a los huéspedes y daños graves a la reputación o financieros si no se identifican y mitigan rápidamente”.
Entry Hospitality ha revelado las acciones inmediatas que los hoteles deben tomar para proteger los sistemas y datos del resort.
Actualice a MFA resistente al phishing (claves de acceso)
Ian comentó: “Recomendamos encarecidamente actualizar a Autenticación multifactor basada en clave de acceso (MFA)que consideramos el estándar de oro en protección de seguridad. A diferencia de los códigos de contraseña tradicionales de un solo uso, las claves de acceso brindan autenticación resistente al phishing que hace prácticamente imposible que los atacantes comprometan sus cuentas, incluso con intentos de phishing sofisticados. Incluso si ya tiene MFA estándar, sigue siendo weak y necesita MFA basada en clave de acceso resistente al phishing”.
“Las claves de acceso ofrecen una protección superior:
- Crean un vínculo criptográfico único entre su cuenta y su sitio internet oficial de inicio de sesión. Por ejemplo, para los usuarios de Guestline, solo funcionarán en la página de inicio de sesión genuina de Guestline y no responderán a sitios internet falsos o similares creados por atacantes, lo que lo protegerá incluso si accidentalmente hace clic en un enlace de phishing.
- Como no hay contraseña ni código de un solo uso para ingresar, no hay nada que el private pueda compartir accidentalmente en un correo electrónico, chat o llamada telefónica de phishing. La parte secreta de la clave nunca sale de su dispositivo, lo que significa que los atacantes no pueden copiarla incluso si ven su pantalla.
- Las claves de acceso son más seguras que los métodos tradicionales de MFA y, por lo common, más rápidas de usar. Simplemente confirma tu identidad tocando una llave de seguridad física (como una YubiKey) o usando el sensor biométrico, la huella digital o el PIN de tu dispositivo.
“Las opciones de claves de acceso flexibles incluyen claves de seguridad físicas, como YubiKey, Google Titan Safety Key o SoloKeys. También puede almacenar claves de acceso en un dispositivo móvil o portátil, ya sea un dispositivo Android o iOS.
Alentar al private a marcar páginas de inicio de sesión y ofrecer capacitación.
“Asegúrese de marcar las páginas de inicio de sesión oficiales en lugar de navegar a través de motores de búsqueda, ya que esto puede exponerlo a sitios de phishing similares.
“Además, los empleadores deben capacitar a todo el private para identificar correos electrónicos sospechosos. Alentar a los empleados a estar atentos a direcciones de remitentes inusuales, lenguaje urgente, archivos adjuntos inesperados o solicitudes para compartir credenciales.
“Por último, fomentar una cultura de denuncia inmediata para que incluso las sospechas inciertas se intensifiquen y analicen sin demora”.
Utilice contraseñas seguras y únicas y evite reutilizarlas
“Recomendamos utilizar contraseñas largas y únicas y evitar reutilizarlas en múltiples cuentas o sistemas. Además, deshabilite los inicios de sesión compartidos (como (correo electrónico protegido)) para servicios críticos. En su lugar, asigne cuentas individuales para el private con derechos de acceso basados en roles”.
Mantener el software program y los sistemas actualizados
“Mantenga el software program y los sistemas actualizados con las últimas actualizaciones y parches de seguridad; el software program desactualizado aumenta significativamente la vulnerabilidad.
“Además, implemente antivirus, protección contra malware y firewalls confiables para detectar y bloquear actividades maliciosas y, finalmente, haga copias de seguridad de los datos críticos con regularidad y pruebe los procedimientos de recuperación. Las copias de seguridad le permiten recuperarse rápidamente si los sistemas se ven comprometidos”.