Ciberseguridad en los Hoteles: WiFi Social

Tras el I Congreso Nacional de Ciberseguridad Hotelera, #HackHotel 2017 (www.hackhotel.es) celebrado en Tenerife los intervinientes coincidieron en destacar el valor que tanto para el establecimiento hotelero como para el cliente, tiene la seguridad digital, una conectividad segura y eficiente, el conocimiento de la información y la gestión responsable de los datos.

Miguel Angel Torres CEO de WiFreeZone y experto en Ciberseguridad, amplia la visión de algunos asuntos que se trataron durante el evento, como la vulnerabilidad del wifi en los ciberataques hacia los hoteles y el papel del wifi social en estos casos.

¿Quién es el objetivo de los ciberataques, las empresas o sus clientes?

El objetivo de los ciberdelincuentes actuales es sólo uno, ganar dinero, a partir de ahí atacarán a los objetivos más fáciles , que les suponga menor esfuerzo y les de mayor rentabilidad. Cada vez quedan menos “ataques dirigidos” a usuarios o compañías en concreto, esto queda relegado al espionaje industrial o intereses muy específicos. En los días que corren lo más común es lanzar “ataques no dirigidos”, es decir, no buscan una víctima en concreto, buscan la víctima más vulnerable y cuando la encuentran, atacan y luego verán si hay información que puedan rentabilizar de alguna forma.  Imaginad que un ciberdelincuente está conectado a la red wifi de un hotel, lo primero que hace es un escaneo de la red en busca de “agujeros” a ver si alguna mal configuración que le permita sacar información. Si encuentra alguna puerta abierta al PMS y puede llevarse de forma sencilla toda la información, ten por seguro que lo hará. Si además puede ejecutar un ataque Hombre en el Medio, también lo hará. 

¿Qué tipos de ciberataques son los más frecuentes en los hoteles? ¿cómo prevenirlos?

Hay muchos tipos de ataques que un ciberdelincuente podría perpetrar en un hotel y como siempre variará dependiendo de cual sea su objetivo. Por eso voy a centrarme en los dos más sencillos de llevar a cabo y con los que podría obtener mucha información valiosa.  El primero es usar la técnica conocida como Hombre el Medio (Man in the Middle), que consiste en que una vez conectado a la wifi como cualquier cliente, engaña a todos los dispositivos conectados a la wifi para que crean que la puerta de enlace, es decir, el router al que tienen que enviar la información para que salga a internet, es el equipo del atacante. De esta forma consigue que todo el tráfico de todos los clientes pasen primero por su equipo y así poder “espiar” toda la información que están enviando y recibiendo. A partir de aquí solo tiene que usar otras herramientas más específicas para identificar  información relevante que le pueda servir. Por ejemplo podría obtener los mails que se envíen o reciban, conocer todas las páginas web donde está accediendo, captar el usuario y contraseña de las webs que no estén cifradas, etc.  Usando otro tipo de herramientas podría incluso captar la información cuando se navega por sitios web con protocolo cifrado (HTTPS), como Facebook, Gmail, etc.. todo depende del tiempo que quiera dedicarle a perpetrar el ataque.

Este ataque no podría llevarse a cabo si los sistemas wifi del hotel están bien configurados de forma que los equipos conectados a la wifi no tengan la posibilidad de conectarse unos a otros, esto se suele llamar “isolation” y es una medida muy sencilla de implementar en la mayoría de equipos modernos.

El segundo ataque podría ser usando una técnica que se denomina Wi-phishing. A todos nos suena esto del phishing, que no es más que engañar al usuario con una copia exacta de alguna web y hacerle introducir sus credenciales. El phishing más común viene en forma de correo electrónico y con un mensaje que nos dice que cambiemos las credenciales de acceso al banco virtual, si pinchas en el enlace te lleva a una web casi idéntica del banco controlada por los delincuentes. Pues bien, en el Wi-phishing ha adaptado esta técnica a la conexión wifi de esta manera. Primero el atacante conecta una potente antena a su equipo y ofrece una wifi con el nombre idéntico al del hotel, pero por ejemplo sin contraseña. Cuando se conecta una victima a esta wifi falsa, todo el tráfico está controlado por el delincuente, por lo tanto estás en sus manos. Hemos conseguido lo mismo que con el ataque Hombre en el Medio pero sólo para los clientes que hayan “picado” en el wi-phishing. Ahora por ejemplo, si intentan conectarse a su red social favorita, le aparecerá una web idéntica que le pide usuario y password, el cliente la introduce y en ese momento el ciberdelincuente ya tiene sus credenciales para suplantarle en la red social, ver todos sus mensajes, etc. Lo mismo podría hacer con la cuenta de correo electrónico, la cuenta del banco etc…

Este segundo ataque no es fácil de detectar por el hotel ya que realmente no se está usando para nada la wifi del hotel, aquí lo único que se hace es engañar al cliente, por eso se dice que es una técnica de Ingeniería Social. Es el propio cliente el que tiene que estar atento y si desconfiar de conexiones sospechosas. Por ejemplo si al entrar en una web nos dice el típico mensaje de “Esta conexión no está verificada” y nunca nos había aparecido antes, o si la web tiene un diseño distinto al original o con faltas de ortografía por ejemplo. 

En seguridad hay un dicho que dice “La cadena es tan fuerte como el eslabón más débil” y en seguridad el eslabón más débil siempre es el factor humano. Da igual cuantos cortafuegos y sistemas de detección de intrusos haya en un hotel, si al final el usuario no toma unas mínimas precauciones. 

¿Es el wifi de los hoteles un coladero para ataques?

El wifi de los hoteles es igual del vulnerable que cualquier otra wifi, lo importante es que el hotel tome las medidas adecuadas que minimice en todo lo posible el riesgo que corren los usuarios de la wifi. Entonces no se puede generalizar de si la wifi  de los hoteles es un “coladero para ataques”, habrá hoteles en los que sí, y habrá otros en los que no.  También hay que pensar que la wifi tiene que ser además de fiable, accesible sin demasiados controles que hagan que acceder a ella sea un dolor de cabeza. De nada vale la wifi más segura del mundo si para acceder a ella hay te piden por ejemplo 2 claves distintas y haber registrado previamente tu dispositivo en recepción, porque al final nadie se conectará.

Hay que tener una cosa siempre presente, no existe ningún sistema seguro al 100% y aunque el hotel tenga la wifi lo más protegida posible, el ciberdelincuente siempre puede atacar al eslabón más débil, que suele ser el usuario final. Si éste no tiene ningún tipo de protección en sus dispositivos, usa la misma contraseña para todo y no hace uso del sentido común a la hora de usar internet, su información y lo que haga en la red siempre estará en peligro.

¡Ayúdanos a compartir!
< Volver al Inicio

Te Puede Interesar

X
X

Pide una Demo

Pide una Demo

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form