INCIBE lanza una guía específica para prevenir ciberataques a los autónomos de sectores que tienen la WiFi abierta

La digitalización de los autónomos y pequeños negocios abre la puerta a posibles amenazas en Internet. Páginas web de reservas, redes wifi gratuitas para los clientes o correos electrónicos públicos son los principales objetivos de los atacantes. Por ello, el Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una guía focalizada en la ciberseguridad de los autónomos dedicados al turismo y al ocio. Hostelería, agencias de viajes, transporte, cultura o alojamientos se exponen a diario a ataques en la red que muchas veces son difíciles de detectar.

La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, destacó en la presentación de esta guía la importancia que tiene la ciberseguridad en los sectores dedicados al turismo o al ocio. Actualmente, muchos restaurantes, agencias de viajes o alojamientos turísticos interactúan con sus clientes a través de sus webs, correos electrónicos o redes sociales, información totalmente pública, para recoger reservas, hacer promociones o captar clientes. Además, muchos negocios ofrecen servicios de conexión a Internet gratuito, donde pueden encontrarse serias brechas de seguridad por parte de los ciberdelincuentes. “La ciberseguridad debe ser un elemento transversal en la nueva realidad digital. En el nuevo turismo digital la ciberseguridad es imprescindible, donde los autónomos y negocios deben contar con mecanismos y servicios sectoriales que les permitan elevar el nivel de ciberseguridad y su capacidad de ciberresiliencia”, explicó Artigas.

Además, un estudio del INCIBE reveló que el 43% de los ataques electrónicos en España van dirigidos a pequeños emprendedores. Amenaza que, según dicho informe, puede llegar a tener un coste medio de 35.000 euros y que en el 60% de los casos supone el cierre del negocio durante seis meses. Por ello, los trabajadores por cuenta propia deben proteger los puntos digitales más débiles de su negocio y tener en cuenta cuales son las amenazas más empleadas por los delincuentes. Donde, según el organismo público, "el sentido común es la mejor defensa". 

Principales amenazas del sector del turismo y ocio

Esta guía, elaborada en colaboración con la Sociedad Mercantil para la Gestión de la Innovación y las Tecnologías Turísticas (SEGITTUR), se dirige a todos los autónomos y pequeños negocios dedicados al sector del turismo y el ocio en España. Ser consciente de las amenazas y conocerlas a fondo es esencial para poder evitarlas, y así proteger los sistemas e información de los negocios. Entre los principales ataques que se enfrentan los trabajadores por cuenta propia de la hostelería, agencias de viajes, alojamientos, actividades recreativas o culturales se encuentran:

AMENAZAS CON CORREO ELECTRÓNICO

Las amenazas más comunes que afectan a los autónomos, según INCIBE, tienen su origen en el correo electrónico. En la actualidad, el fraude online es una de las ciberamenazas que más preocupa a las organizaciones. Los ciberdelincuentes utilizan la combinación de la ingeniería social y las herramientas tecnológicas para engañar tanto a trabajadores por cuenta propia como a sus empleados. Este tipo de estafas, por lo general, se realizan a través del correo electrónico y tienen principalmente una motivación económica para el ciberdelincuente. Entre los casos más habituales se encuentra la suplantación de identidad por correo electrónico. Mediante esta técnica los ciberdelincuentes envían correos con remitente falso para enviar publicidad engañosa, virus digitales o llevar a cabo ataques de phishing, suplantando en este último caso la identidad de perfiles con capacidad de toma de decisiones del negocio, proveedores, clientes, etc. Entre los principales casos de fraude a través del correo en los que se utiliza la suplantación de identidad, cabe destacar:

• El falso soporte técnico: Se trata de un fraude donde el estafador se hace pasar por el servicio informático de la compañía con el pretexto de solucionar ciertos problemas técnicos en el equipo. El objetivo es principalmente obtener acceso al ordenador de la víctima, para así conseguir información confidencial de la empresa. También es muy habitual la variante del falso soporte de Microsoft.
• El fraude del CEO: Consiste en engañar a un empleado con capacidad para hacer movimientos bancarios o acceder a datos de cuentas de la empresa. Este recibe un correo, suplantando la identidad de su jefe, ya sea el CEO, presidente o director de la organización en cuestión, donde se le pide ayuda para que realice una operación financiera confidencial y urgente. El objetivo es transferir fondos de la empresa a la cuenta del ciberdelincuente.
• El fraude de Recursos Humanos: Esta vez el correo va dirigido a la gestión de personal. En este correo el ciberdelincuente suplanta la identidad de un empleado, solicitando un cambio de cuenta para el ingreso de su nómina. Al igual que el fraude del CEO, el objetivo es que la organización transfiera dinero a la cuenta del estafador.
• Campañas de distribución de ransomware: La extorsión se realiza a través de este tipo de malware o virus, que se introduce en los equipos de los negocios, principalmente a través de un señuelo enviado por correo electrónico. En estos correos se insta a los autónomos a descargar y ejecutar archivos con código malicioso que infectarán el equipo. Una vez infectado, el funcionamiento del ransomware es cifrar los archivos del dispositivo para que ya no sean accesibles para el usuario. Normalmente, se propaga a través de la red de la empresa, infectando así todos los equipos de la organización. A cambio de devolver el acceso a esta información a la empresa, los ciberdelincuentes piden una compensación económica, chantaje al que nunca se debe acceder. Nadie asegura que con este pago la información secuestrada quede liberada, y además, se contribuye a aumentar la incidencia de este tipo de ciberdelincuencia.

AMENAZAS AL SITIO WEB DEL NEGOCIO

Para los autónomos del sector del turismo y ocio el sitio web es un activo muy importante, ya que se trata de su escaparate en Internet, permitiendo ofrecer servicios y productos de manera global, llegando así a un mayor número de clientes. Por lo tanto, un incidente de seguridad relacionado con el sitio web podría perjudicar seriamente a la continuidad de su negocio.

• Vulnerabilidades no parcheadas: Entendiendo como vulnerabilidad un fallo o deficiencia en un software (programa de ordenador u aplicación), que puede ser utilizado por un ciberdelincuente para llevar a cabo acciones maliciosas. Los sitios web pueden contar con vulnerabilidades que si no son parcheadas podrían llegar a ser explotadas, causando un incidente de seguridad.
• Malas configuraciones: A través de acciones como permitir contraseñas simples, no aplicar sistemas de verificación o mostrar más información que la estrictamente necesaria puede suponer el origen de un incidente de ciberseguridad.
• Errores de diseño: Esto ocurre cuando una web no está diseñada bajo los estándares de ciberseguridad. Esto puede originar que la página web tenga errores de diseño, los cuales podrían ser la puerta de entrada al interior de la plataforma digital del negocio.

AMENAZAS EN REDES SOCIALES

En la actualidad, las redes sociales son una herramienta de gran valor para el sector del turismo y ocio, permitiendo dar a conocer sus productos o servicios de una manera muy visual e interactiva, y a la vez estableciendo un trato más cercano con los actuales o potenciales clientes. Sin embargo, los ciberdelincuentes suelen utilizar la técnica del phising o suplantación de identidad para que los emprendedores compartan información confidencial como contraseñas, tarjetas de crédito y otros datos susceptibles de fraude.

AMENAZAS EN LAS REDES WIFI

En los últimos años, muchos negocios del sector del turismo y ocio han decidido incluir entre los servicios que ofrecen a sus clientes la posibilidad de conectarse a un punto de acceso wifi gratuito mientras se encuentran en sus instalaciones. Esta acción, entraña varios aspectos legales y técnicos que es conveniente revisar cuando se plantea ofrecer este servicio, donde una buena encriptación de la red puede evitar pasar un mal trago a los autónomos. Dado que, una red wifi abierta puede poner en riesgo cualquier aspecto del negocio, desde la contabilidad, cuentas a datos personales de los empleados y clientes. 

Medidas para evitar las amenazas digitales en el sector del ocio y turismo

Los negocios dedicados al turismo y al ocio se enfrentan a grandes amenazas en materia de ciberseguridad. Una brecha de seguridad puede ocasionar una pérdida de confianza por parte de los clientes, daño a la reputación de la marca, pérdidas económicas y perjuicios legales. Pese a que estos ataques crecen exponencialmente, afirma INCIBE, muchos de estos riesgos pueden ser evitados o al menos controlados, minimizando así su impacto. En este sentido, INCIBE recomienda las siguientes medidas para minorizar o prevenir el impacto de los ciberataques:

MEDIDAS POR CORREO ELECTRÓNICO

• Asegurarse que los correos proceden de un origen confiable.
• Verificar la acción con la fuente que solicita por otro medio distinto al correo electrónico.
• En caso de robo de datos, nunca pagar el rescate que exige el ciberdelincuente.

MEDIDAS PARA LA PÁGINA WEB DEL NEGOCIO

• Utilizar contraseñas robustas.
• Realizar copias de seguridad.
• Utilizar sistemas de verificación para evitar ataques automatizados.
• Tener al día las actualizaciones de seguridad.
• Asegurar pagos online seguros.
• Asegurar el cumplimiento legal y normativo.

MEDIDAS PARA LAS REDES SOCIALES

• Utilizar contraseñas robustas.
• Realizar una correcta configuración de la privacidad.
• Elegir un responsable de publicación.
• Tener precaución a la hora de seguir enlaces y descargar archivos adjuntos.

MEDIDAS PARA LAS REDES WIFI

• Mantener actualizada la seguridad del router wifi.
• Utilizar contraseñas robustas.
• Mecanismos de control parental.
• Crear una red independiente para el negocio y otra para los clientes.
• Fuera de horario apagar la red wifi.

Algunos antivirus gratuitos que recomiendan los expertos para los autónomos

No obstante, la mejor protección para los autónomos y negocios es disponer de un buen sistema de seguridad que garantice la protección de los dispositivos informáticos. De este modo, los trabajadores por cuenta propia deben considerar como prioritario proteger todo el contenido digital, como un cambio regular de sus contraseñas, no acceder a enlaces desconocidos y contar con un antivirus que les avise en caso de amenaza. A continuación desglosamos un listado de los antivirus gratuitos que distintos portales web especializados en tecnología recomiendan para proteger nuestros ordenadores:

• Avira Antivirus: Según PC World, portal especializado en tecnología informática, este antivirus es uno de los más recomendados por los expertos por su facilidad de uso, su diseño sencillo y gran rendimiento. Entre sus herramientas se incluyen el detector de páginas web poco fiables y una opción para bloquear la publicidad y así evitar que rastreen tu información online.
• Bitdefender: Con una gran reputación en el sector de los antivirus, su versión gratuita ofrece un servicio básico recomendado para cualquier ordenador.
• Kapersky: Otro de los antivirus con renombre en el mundo de la protección informática que recientemente ha lanzado su versión gratuita para PC.
• AVAST: Avast ofrece una protección  básica contra amenazas desconocidas, además de un gestor de contraseñas.
• Microsoft Windows Defender: Windows Defender viene integrado en Windows 10 y Windows 8. Es posiblemente la opción más práctica para gran parte de los usuarios ya que su funcionamiento es automático, a no ser que se haya deshabilitado o que se haya instalado otro sistema antivirus.