Un ejercicio de ‘hacking’ ético a un hotel evidencia el alto riesgo que supone para los establecimientos ignorar la ciberseguridad

HackHotel 2017 cerró sus puertas esta tarde con una prueba de intrusión, protagonizada por el analista en ciberseguridad Raúl Siles, quien se vistió de cibercriminal para detectar las vulnerabilidades en la ciberseguridad de un establecimiento hotelero con el objetivo de evitar un hipotético ciberataque. El I Congreso Nacional de Ciberseguridad Hotelera, HackHotel 2017 (www.hackhotel.es), organizado por Ashotel en el Auditorio de Tenerife Adán Martín, en estrecha colaboración con el Gobierno de Canarias, a través de la Agencia Canaria de Innovación, Investigación y Sociedad de la Información (Aciisi), se clausuró con éxito esta tarde después de dos días de intensa actividad.

En su ponencia ‘Mistery Hacker Hotel’, Raúl Siles, fundador de Dinosec, expuso qué puede ocurrir en un establecimiento hotelero si un cliente decide identificar las vulnerabilidades en materia de seguridad de la información y nuevas tecnologías y aprovecharlas para atacar a la empresa. En este sentido, presentó el desarrollo y las conclusiones de una intrusión real realizada este verano solo con un simple portátil y a través de la red wifi del establecimiento. La penetración le permitió tener acceso a más de 600 equipos, comprobar la existencia de redes wifi mal configuradas, acceder a impresoras, a los nombres de las DNS, a la centralita de voz, al equipamiento de las redes, etcétera.

Siles demostró que el atacante puede llegar a tener el control total y absoluto de la organización, accediendo a las cámaras de seguridad, los dispositivos de domótica, las puertas, los paneles informativos, la lavandería y, lo más importante y grave, acceso a la recepción y, por consiguiente, a controlar la gestión de las llaves, del software de gestión, de la base de datos de clientes alojados y del propio personal del hotel, entre otros datos vitales. El especialista incidió en la importancia de dedicar tiempo a securizar las tecnologías y a invertir en renovación e innovación con seguridad.

Recomendó definir un responsable (CISO, jefe de Seguridad de la Información) y un equipo técnico de seguridad; realizar pruebas de intrusión periódicas, monitorizar la tecnología desde el punto de vista de la seguridad, conocer las tecnologías e invertir en su despliegue de forma segura y romper con la idea de ocultar las debilidades de seguridad y arreglarlas. Para finalizar, Siles tiró del refranero español: «No dejes para mañana lo que puedas proteger hoy” y “cuando veas las barbas de tu vecino mojar pon las tuyas a actualizar”.

José Luis Hernández, presidente de CSA, fue el encargado de introducir la ponencia de Siles. Hernández estableció un paralelismo entre los objetivos de seguridad de un banco y de un hotel: garantizar la continuidad del negocio, evitar pérdidas por fraude, custodiar información interna y custodiar información del cliente, siendo esta última la parte fundamental según el presidente de CSA. Hernández recordó que la seguridad no es solo comprar servicios y soluciones e incidió en el uso del conocimiento, un elemento clave en la seguridad, la inversión y la acción.

Ingeniería social y domótica

Xabier Mitxelena, fundador de S21sec, y Juan Antonio G. Bule, presidente de Walhalla Datacenter Services, tuvieron un cara a cara sobre ‘Ingeniería social en el ADN de la cultura digital empresarial’. La idea de que el sector turístico necesita de una identidad digital donde la formación y concienciación de sus usuarios permita fidelizar y satisfacer a sus clientes fue una de las conclusiones aportadas. Ambos especialistas incidieron en que la seguridad virtual es una tarea de todos y aconsejaron convivir de manera natural y responsable con el entorno digital e implementar las medidas que garanticen la seguridad del cliente. Asimismo, destacaron la idea de implantar la educación digital como elemento para luchar contra las ciberamenazas y ser consciente de que la seguridad y los riesgos son procesos continuos, lo que implica un proceso constante de vigilancia, concienciación y acción. Ambos destacaron que la seguridad digital debe estar en el ADN de las organizaciones.

La jornada de tarde sirvió también para profundizar en el campo de la biotecnología en el sector turístico con la mesa redonda ‘Domótica, eficiencia y el ransomware del IoT’, que contó con la participación de Javier Cortés, especialista en ciberseguridad del Centro de Servicios Avanzados (CSA); Igor Lukic, gerente de Enigmasec, y José V. Mesa, director de Globalan Telecomunicaciones, moderada por Manuel Suárez, gerente de GF-TIC.

Diseñar los dispositivos de domótica desde el punto de vista de la seguridad virtual y digital, activar mecanismos de protección, vigilar la conectividad entre las máquinas y realizar un buen diseño de las infraestructuras fueron algunas de las recomendaciones ofrecidas durante la charla. Igualmente, invitaron a superar el hecho de que la seguridad sea algo incómodo y aconsejaron actuar con responsabilidad, paciencia y planificación.   Contar con un plan de contingencia digital, evaluar diversos supuestos, marcar una estrategia de seguridad o establecer un protocolo de respuesta para reaccionar ante los ataques fueron otros consejos aportados por los participantes.

Clausura

HackHotel 2017 puso punto final a dos días de congreso en el Auditorio de Tenerife con el acto de clausura, que contó con la presencia de Isaac Castellano, consejero de Turismo del Gobierno de Canarias; Alberto Bernabé, consejero de Turismo del Cabildo de Tenerife; Juan José Martínez, concejal y octavo teniente de alcalde del Ayuntamiento de Santa Cruz; y Jorge Marichal, presidente de Ashotel. Este último agradeció el esfuerzo y la colaboración de las instituciones, empresas, ponentes y asistentes que han hecho posible la celebración de este foro profesional de ámbito nacional y destacó que “el congreso ha permitido generar la conciencia de que este tema lo debemos tomar muy en serio”.

Bernabé recalcó que la seguridad es una necesidad y destacó la importancia de que los visitantes perciban que Tenerife es un destino seguro. Por su parte, Castellano aplaudió el nacimiento de este espacio para la concienciación en materia de ciberseguridad. “La digitalización de los destinos tiene sus riesgos, pero vamos a afrontar con éxito este reto”, dijo antes de apostar por el desarrollo de un concepto integral de seguridad. Por último, Juan José Martínez aplaudió la iniciativa de Ashotel y agradeció la elección de Santa Cruz como sede del congreso.