El sector turístic mou una gran quantitat d’informació confidencial així com molts diners arreu del món i per això continua sent un objectiu pels ciberdelinqüents.

La ciberseguretat és un tema molt important pel turisme, ja que el sector turístic tracta amb un elevat percentatge d’informació confidencial de clients, com vindrien a ser dades personals, financeres i de reserves. A més, els sistemes de reserves en línia, de pagament i les aplicacions mòbils per turistes són vulnerables a atacs cibernètics.

Per a garantir la ciberseguretat en el sector turístic, és important que les empreses turístiques implementin mesures de seguretat, com el xifratge de dades, l’ús de contrasenyes fortes, l’autenticació de doble factor i la capacitació del personal en matèria de seguretat cibernètica.

Igualment, les administracions públiques tenen un rol crucial a l’hora de reforçar les mesures de seguretat en zones turístiques.

Un dels tipus de ciberatac més comuns en el sector turístic és el spearphishing dirigit a les reserves dels hotels. En aquests atacs, els atacants estudien prèviament a la seva víctima a través de xarxes socials o analitzant el seu lloc web, i després obtenen el correu electrònic de reserves de l’hotel. A continuació, efectuen un primer atac per aconseguir les credencials del correu electrònic o bé intervenir les comunicacions, i finalment, l’atacant es converteix en qui gestiona les peticions de reserves, cobrant per elles en un compte bancari propi.

Un altre tipus d’atac comú és el clonat de webs hoteleres. En aquest cas, els atacants realitzen una còpia exacta o molt semblant de la web d’un hotel o cadena de restaurants. Les víctimes no poden distingir la web legítima de la falsificada i duen a terme reserves o pagaments de forma absolutament normal.

Una altra mena d’atac sorgit recentment és el d’emprar adhesius amb codis QR falsos, portant als clients a una web infectada que permet altres tipologies d’atac als dispositius mòbils.

També els atacs en la cadena de subministrament poden tenir conseqüències devastadores. Les webs de reserves de qualsevol servei hostaler es connecten al seu torn amb multitud d’intermediaris, la qual cosa pot ser aprofitat pels atacants per obtenir informació de clients a través de qualsevol d’aquestes empreses intermediàries. La denegació del servei d’una empresa intermediària impacta en tota la cadena i pot tenir greus conseqüències pel negoci.

Ciberatacs a empreses turístiques

En els últims anys, hi ha hagut diversos ciberatacs notables a empreses turístiques que han afectat milions de clients a tot el món. Alguns dels ciberatacs més famosos en el sector turístic són els següents:

• Marriott International: Al 2018, la cadena hotelera Marriott International va patir un ciberatac que va comprometre les dades personals de fins a 500 milions de clients, inclosos noms, adreces de correu electrònic, números de telèfon i passaports.
• British Airways: També al 2018, l’aerolínia britànica British Airways va ser víctima d’un ciberatac que va afectar 380.000 clients. En aquest, els ciberdelinqüents van robar informació personal i financera dels clients així com noms, direccions i detalls de targetes de crèdit.
• Sabre: El 2017, l’empresa de tecnologia de viatges Sabre va sofrir un ciberatac que va comprometre informació personal de clients de diverses aerolínies, incloses American Airlines, Delta Air Lines i United Airlines.
• Hilton Hotels: Al 2015, la cadena hotelera Hilton Hotels va patir un ciberatac que va comprometre les dades personals dels clients i van poder adquirir noms, direccions i números de targetes de crèdit.
• Target: Encara que no és una empresa turística, el 2013 la cadena minorista Target va ser víctima d’un ciberatac que va comprometre les dades personals i financeres de fins a 110 milions de clients, molts dels quals eren turistes que compraven subministraments de viatge.