Juan Pablo Penilla Rodríguez: Contratar unas vacaciones en Canarias en una agencia de viajes, dar tus datos en el hotel, alquilar un coche durante la estancia… Y al volver a casa descubrir que en su tarjeta se han cargado compras que no ha hecho y en lugares en los que no ha estado. Sus datos tal vez han sido robados de alguna de las empresas a la que se los confió. Una mala experiencia que le hará maldecir las vacaciones y tal vez no volver a las islas. Y un riesgo para el sector más importante de la economía canaria.

Los ataques informáticos son cada vez más frecuentes en el sector turístico aunque es difícil cuantificarlos porque no siempre se denuncian. La gran cantidad de datos de clientes que manejan las empresas turísticas, las hacen un objetivo prioritario para los ciberdelincuentes. “Los datos son el nuevo petróleo” afirma Daniel Celis, decano del Colegio de profesionales del turismo de Canarias.

El robo de datos es el principal riesgo, pero hay otros. Uno de ellos, señala Celis, es “bloquear la página web de un hotel y que no se pueda usar ni realizar reservas. Entonces piden un rescate que puede llevar incluso al cierre del establecimiento”. En caso de robo de datos, la empresa está obligada a comunicarlo a la Agencia Española de Protección de Datos y a los propios afectados. Todo un golpe en el prestigio del establecimiento turístico.

Manuel Clausen, director de la correduría de seguros Tractio, que ha firmado un acuerdo con el Colegio de Turismo de Canarias para atajar estos delitos, detalla los riesgos citando datos del Instituto Nacional de Ciberseguridad (INCIBE) “cuando hay un ciberataque en pymes el coste medio, sin contar los delitos de extorsión, es de 74.000 euros”. Lo más grave viene después: “A los seis meses el 60% de esas empresas tienen que cerrar porque no han podido hacer frente al impacto financiero o el golpe en su reputación”.

Reputación

Una dura estadística, que no gusta a ningún empresario. “Te piden un sistema que no pueda ser atacado, pero vivimos en un mundo en el que todo es hackeable con el suficiente tiempo y recursos” afirma Rafael Fuentes, informático y gerente de Voxia Comunicaciones. “De hecho entre las grandes empresas de informática no se habla de ‘si te hackean’ sino de ‘cuando te hackeen’. La cosa es poner los medios para que no resulte rentable”. Fuentes está convencido de que las empresas turísticas canarias aún no están preparadas para hacer frente a esta amenaza: “En ciertos niveles sí se pone dinero suficiente para hacerle frente. Una cadena hotelera contrata a alguien de seguridad informática, pero las pequeñas empresas del sector no están tan preparadas”.

Domingo Santana, responsable de Sistemas del Grupo Lopesan, es una de esas personas de seguridad informática. “Hemos puesto normas más duras en el tratamiento de datos. Por ejemplo, un sistema de doble clave para acceder al correo electrónico. Hay que implantar la cultura de la seguridad porque una de las cosas más peligrosas es cuando se exponen datos de forma inocente”. Para él la conciencia del empresario turístico hacia los ciberataques ha cambiado: “El despliegue de medidas para blindarse suele costar, pero ahora es la gerencia quien las promueve”.

Pero no en todas las empresas se actúa así y los ataques son difíciles de detectar. Para prevenirlos, el Colegio de turismo de Canarias participa en la redacción del Código de conducta de protección de datos en el turismo del nuevo Reglamento general de protección de datos. Establece unos protocolos que su decano ilustra con un ejemplo: “Cuando recibes un coche de alquiler, la empresa no puede recibir la firma en una tablet, porque no sabemos qué va a pasar después con ella, el empleado se la puede llevar a su casa. Debe ser un sistema que esté anclado, como el que tienen los bancos”.

Rafael Fuentes recuerda además que “a veces no sabemos qué va a pasar con esos datos, si los almacenan o no… Y hay un largo historial de almacenar datos que no tienes que almacenar y que luego alguien piratea”. Extender la cultura de la ciberseguridad contra un enemigo invisible abre un nuevo frente para el sector turístico.
Otros datos
.
Auditorías.
Una de las maneras de reforzar la seguridad de las grandes empresas hoteleras es encargar auditorías externas de seguridad informática “son independientes y ayudan a identificar fallos” señala Domingo Santana.

Seguro.
Además de colaborar en el código de buenas prácticas, el Colegio de turismo de Canarias y la correduría Tractio han diseñado un seguro específico para ciberataques en el sector turístico.