Las habitaciones smart: objetivo de hackers

Nov 14, 2022 | Blog

Con tantos dispositivos IoT conectados a los servidores de los hoteles, los hackers encuentran fácilmente puntos débiles, a menos que los hoteles pongan especial cuidado.

La proliferación de datos en los hoteles inteligentes ha hecho que la seguridad sea una preocupación aún mayor para los hoteleros. Los piratas informáticos expertos siempre han explotado las vulnerabilidades de los sistemas de datos. Incluso grandes grupos como IHG, el Hilton y el Marriott se han visto comprometidos. Con el Internet de las Cosas (IoT) cada vez más integrado en los hoteles, la cantidad de datos personales vulnerables recogidos ha aumentado exponencialmente.

Habitaciones conectadas

En las habitaciones de los hoteles inteligentes todo, desde los televisores hasta los interruptores de la luz, los termostatos y los despertadores, puede conectarse a Internet, a los servidores del hotel y a los dispositivos de los huéspedes. El grupo hotelero Marriott, por ejemplo, afirma tener cerca de 2.000 habitaciones conectadas en EE.UU. y está añadiendo más constantemente.

Los huéspedes disfrutan de la comodidad de la alta tecnología y los hoteles obtienen más ingresos. Pero hay un inconveniente. Los dispositivos conectados suelen ser vulnerables a las brechas de seguridad. El gran número de dispositivos IoT en las habitaciones de los hoteles (que no hará más que aumentar) ofrece a los hackers importantes oportunidades para invadir la privacidad de los huéspedes y acceder a sus dispositivos personales.

Hay hackers buenos

Los hackers éticos han hecho un buen trabajo exponiendo vulnerabilidades. Durante la estancia en un hotel de un investigador de los expertos en seguridad LEXFO, éste fue importunado por un vecino ruidoso, así que hackeó su habitación por la noche y le dio una lección encendiendo y apagando las luces y haciendo que su cama se plegara.

El investigador contó en la conferencia Black Hat USA 2021 cómo hackeó los iPads que controlaban la habitación encontrando seis vulnerabilidades. Informó de ello al hotel y éste corrigió los puntos débiles.

Causando el caos

Pero las amenazas crecen cada día. Los llamados white hackers pusieron de manifiesto algunas de ellas en el Black Hat USA en Las Vegas en 2019. Por ejemplo, el equipo alemán llamado Chaos Computer Group, contó cómo hackeó un hotel de alta gama a través de un sistema de llaves móviles conectadas al IoT que los huéspedes utilizaban en ascensores, habitaciones y gimnasios. 

La advertencia debería ser clara para todos los propietarios de hoteles: cuidado con lo que conectas.

Complacencia

Incluso cuando los hackers éticos revelan los riesgos, los hoteles pueden ser complacientes. Hace un par de años, el investigador de seguridad Lance R. Vick hackeó los robots de atención al cliente del hotel Henn-na de Nagasaki y los hizo espiar a los huéspedes controlando sus cámaras y micrófonos. Vick lo comunicó al hotel pero no hicieron nada durante 90 días, momento tras el cual él lo hizo público.

Los hoteleros tienden a silenciar los detalles de los hackeos de dispositivos IoT, pero la escala de los ataques sugiere que están ocurriendo a menudo. Según los expertos en seguridad de Kaspersky, sólo en los seis primeros meses de 2021 se produjeron 1.500 millones de ataques contra dispositivos IoT. Kaspersky afirma que el 43% de las empresas no protegen todo su conjunto de dispositivos IoT.

Hackeos famosos

En septiembre de 2022, Holiday Inns by IHG sufrió un ciberataque mientras investigaba un «acceso no autorizado» a varios de sus sistemas tecnológicos que provocó la interrupción de «los canales de reserva y otras aplicaciones». 

Uno de los casos extraordinarios más famosos fue el de unos hackers que utilizaron una pecera conectada en un hotel casino norteamericano para acceder a los datos de jugadores de alto nivel en 2017. Los hackers consiguieron entrar en los servidores del hotel a través del termostato de la pecera y extrajeron 10 GB de datos personales a un dispositivo en Finlandia.

Un ejemplo aún más impactante fue cuando los hackers espiaron reuniones privadas sobre el acuerdo nuclear de Irán en un hotel de cinco estrellas en Ginebra en 2015. Uno de los métodos empleados por los hackers fue acceder a las conversaciones a través de los televisores de las salas de reuniones.

Las grandes marcas también son vulnerables

Los huéspedes pueden sentirse protegidos de los piratas informáticos si se alojan en hoteles de marcas conocidas pero la evidencia sugiere que cualquier hotel puede ser hackeado. Los sistemas de Starwood Hotels se vieron comprometidos en 2014, pero el hackeo pasó desapercibido hasta 2018. Para entonces, Marriott era el dueño del grupo y los hackers llevaban años en el sistema saqueando cientos de millones de datos, incluyendo números de pasaporte, estatus VIP, direcciones de correo electrónico y números de teléfono.

Otra gran marca, Hyatt, vió comprometidos sus datos en 2017 cuando los hackers lograron acceder a la información de las tarjetas de pago en todo el mundo. Los datos fueron robados de tarjetas introducidas manualmente o pasadas por la recepción. Del mismo modo, Radisson sufrió una filtración de datos en 2018 que expuso detalles personales, incluyendo nombres, direcciones de casa y cuentas de correo electrónico.

En marzo de 2022, el grupo de hackers «Conti» vulneró los sistemas informáticos internos del grupo hotelero alemán Welcome Hotels y, como resultado, tuvo que instalar un sistema informático completamente nuevo.

Los principales puntos débiles

Los puntos débiles de los sistemas de los hoteles pueden ser lagunas en el software o sistemas de red mal diseñados que los hackers pueden aprovechar. Pero también existen importantes amenazas derivadas de empleados descuidados que dejan los sistemas informáticos conectados o utilizan sus dispositivos personales para tareas oficiales.

Otras amenazas importantes provienen de los programas maliciosos enviados a los ordenadores del hotel inadecuadamente protegidos, la eliminación descuidada de los datos personales sin medidas de seguridad sólidas y las amenazas internas de los empleados que no son de confianza.

6 formas de proteger tus datos

¿Qué pueden hacer los hoteles para mitigar los riesgos?

Socios tecnológicos de confianza

  1. Es prioritario trabajar con empresas tecnológicas que se preocupen por cumplir todas las normas de seguridad de los datos, como SIHOT, el proveedor de PMS. SIHOT también tiene la ventaja de contar con centros de datos locales, lo que ayuda a mitigar el robo de información.

Formación en ciberseguridad

  1. Los empleados representan una de las mayores vulnerabilidades del sistema. Necesitan recibir formación de un experto en ciberseguridad y seguridad de la información. Como por ejemplo, aprender a identificar los ataques de phishing por correo electrónico. Sin embargo, muchos hoteles no llevan a cabo una formación rutinaria.

Elige las herramientas de seguridad adecuadas

  1. Utiliza herramientas de ciberseguridad. Es fundamental contar con herramientas de seguridad de alto rendimiento, como cortafuegos, monitor de red, filtro de tráfico y antimalware. Los hoteles deberían elegir las que mejor se adapten a su presupuesto y necesidades. Lo mejor es seleccionar un proveedor de ciberseguridad con experiencia en la protección del IoT, así como en la seguridad de la red. Déjate aconsejar por expertos en seguridad si no estás seguro.

Haz bien lo básico

  1. Es preocupante la cantidad de hoteles que no cambian los nombres de usuario y las contraseñas por defecto en todos sus dispositivos. Se trata de una medida de seguridad básica que debería adoptarse de forma rutinaria, o los hoteles serán presa fácil de ataques de bots.

Cuidado con el personal

  1. Tu personal debería ser investigado cuidadosamente para asegurarte de que no es portador de una amenaza interna. Y no confíes demasiado en los técnicos o equipos de mantenimiento externos. Nunca debe haber acceso no autorizado a los ordenadores conectados del hotel.

Aísla los dispositivos IoT

  1. Todos los dispositivos operativos de tu alojamiento deben colocarse en una red que funcione por separado del servidor del hotel. Cualquier dispositivo IoT que no requiera acceso a Internet debe estar aislado de la red. Si hay conversaciones privadas en una habitación, lo más seguro es desconectar todos los televisores y VUIs.

En SIHOT trabajamos con los hoteles como socios a largo plazo para garantizar que la tecnología proporcione eficiencia y proteja el negocio de las amenazas externas.