“Estimado huésped, ¡Bienvenido!”: Cómo los empleados del sector hotelero se benefician con los datos personales de los clientes

Por Lee Matveev. Fundador de SearchInform

Los problemas más frecuentes de seguridad que enfrentan los huéspedes en los hoteles están relacionados con sus datos personales, las tarjetas de crédito y los ataques de ingeniería social.

No importa cuántos expertos en el campo de la seguridad informática nos cuenten historias de terror relacionadas con el robo de datos personales o del tratamiento negligente que se les dan, la gran mayoría de las personas ni siquiera piensa en las reglas básicas de la seguridad de la información.

Es normal que no dudemos proporcionar nuestra información personal a las agencias de viajes, ¿por qué deberíamos estar interesados en cómo y dónde se guardarán, o a quién se le enviarán las copias del pasaporte, cuestionarios o recibos de sueldo? Tampoco nos preocupamos cuando hacen una copia nuestro pasaporte o algún otro documento de identidad al registrarnos en un hotel o inscribirnos en el gimnasio. Yo paso una quinta parte de mi tiempo laboral en vuelos y hoteles, y ni siquiera puedo imaginar cuántas copias de mi pasaporte están en circulación por todo el mundo.
Y aunque estoy relativamente tranquilo cuando en el banco hacen una copia de mi documento de identidad, porque una entidad financiera probablemente tenga soluciones de protección y un servicio confiable de seguridad, puedo suponer que en un hotel, en el mejor de los casos, sólo hay un administrador de sistemas. La mayoría de las empresas de servicios no tienen regulaciones que exijan a sus empleados garantizar la confidencialidad de los datos del cliente. Y si no hay obligación o reglas que cumplir, entonces la tentación de usar los datos de los huéspedes para el propio beneficio aumenta dramáticamente.

Estadísticas
Para evaluar la magnitud del problema, una encuesta del sector realizada en Moscú, muestra que en 795 hoteles (incluyendo mini-hoteles y hostales) hay una capacidad de 50.500 plazas en total y que el promedio diario de ocupación ronda unos 60/70%.

Tomando estos datos para hacer un cálculo rápido podemos decir que se realizan diariamente más de 20.200 copias digitales de pasaportes sin que nadie controle que se hace con ese archivo. Tengamos en cuenta que estos datos corresponden sólo a la capital de Rusia.

Además de los hoteles, los pasaportes son escaneados también en centros de estética, fitness y en centros de negocios, para el acceso a instalaciones importantes y también en otros lugares de esparcimiento como las pistas de hielo.

Entre todos los clientes de SearchInform, la participación de empresas de hostelería es de sólo un 0,5%, del parque instalado, es decir que, de más de 1600 clientes tan sólo ocho son prestadores de servicio de hotelería o de hospedaje. Y esto no es una excepción, si comparamos a otros proveedores de seguridad, el promedio de clientes de este sector no supera el 3%.

Amenazas reales
Compartimos algunas historias de fraude y negligencia de nuestros clientes del sector en el tratamiento de las copias digitales de los pasaportes.
Un cliente de SearchInform se enfrentó al desafío de identificar esquemas fraudulentos con el registro al hotel. En el DLP se establecieron políticas para rastrear el movimiento de las copias digitales de los pasaportes que permitieron identificar a los estafadores. El responsable de la seguridad de la información se sorprendió mucho cuando el sistema detectó el envío sistemático de archivos con las imágenes de los pasaportes a una cuenta mail externa. Se pudo demostrar que era la recepcionista quien vendía los datos a delincuentes de sitios web especializados en realizar estafas. El hotel tomo medidas drásticas, además de despedir a la recepcionista inició una investigación judicial por este incidente y que todavía está en curso.
El tipo más común del fraude con las copias digitales de pasaportes es el envío a los interesados en realizar fraude. Las copias digitales se utilizan para realizar estafas con solicitudes de crédito, varios sitios web las usan para la verificación de identidad o para el chantaje deliberado de una persona en particular.
Uno de nuestros clientes se enfrentó a la situación que las copias digitales de los pasaportes se almacenaban en una carpeta de red compartida y uno de los representantes de ventas del Hotel aprovechó la ocasión y grabó los datos en un Pendrive. El sistema DLP detectó la fuga de información hacia una memoria portátil y dio con el empleado que luego admitió que había acordado con un cómplice transferirle los archivos a cambio de una recompensa. El estafador compraba las copias de pasaportes para usar la identidad en sitios web de casinos y también en sitios web de compra y venta minorista.

Otra historia típica, hace unos años uno de nuestros analistas se hospedó en un hotel y cuando se conectó a la red wifi descubrió que podía ver varios equipos de la red conectados incluyendo la PC de la recepción y vio que las copias digitales de los pasaportes de los huéspedes estaban disponibles para cualquiera. El analista de SearchInform descargó las copias digitales de los pasaportes y se las mostró al Gerente General del hotel. El Gerente admitió que el hotel no tenía administrador de sistemas permanente que pudiera resolver rápidamente el problema.

¿Cómo proteger sus datos?
Yo trabajo en el campo de la seguridad de la información y entiendo perfectamente que las numerosas copias de mi pasaporte constituyen una verdadera amenaza si caen en manos de un delincuente, podrían generarme graves problemas con préstamos solicitados por empresas fantasmas o ser víctima de ataques de ingeniería social.
El problema de la protección de los datos personales, por desgracia está lejos de solucionarse. La mayoría de los hoteles aún no cuentan con soluciones de prevención de fuga de datos. En algunos casos la manera de protegerse sería muy simple, solo es necesario tener una copia del pasaporte con una inscripción del nombre de la organización para la cual hacemos la copia, sin comprometer la legibilidad del documento. También podemos insistir en la entrada manual de los datos personales.

Las autoridades competentes podrían corregir globalmente la situación de la seguridad de datos personales. Si los organismos internacionales obligaran a las instituciones del sector mayor control y protección de los datos personales a nivel estatal, si se llevaran a cabo los controles y se impusieran las sanciones correspondientes, la mayoría de los problemas se resolverían.

La instalación de un sistema DLP de alta calidad en las PCs que almacenan y procesan los datos personales permitirá bloquear el envío de información de importancia crítica y a la vez notificar a la administración o al empleado del departamento de seguridad informática sobre el intento de realizar una fuga de datos y actuar en consecuencia.