Prevenir los ataques de ingeniería social en las empresas de ocio

Publicado el 21/11/2017, por INCIBE
Prevenir los ataques de ingeniería social en las empresas de ocio

En este artículo examinaremos cómo abordar la ciberseguridad en el sector dedicado al ocio. ¿Qué características especiales tienen estas empresas? ¿Cómo les afectan los incidentes de ciberseguridad? ¿Qué medidas tendrían que adoptar para prevenirlos y mitigarlos?

El sector ocio en España

Muchas pequeñas y medianas empresas ofrecen servicios para el tiempo libre, como servicios vacacionales o servicios de ocio y entretenimiento. Estos son algunos ejemplos:

  • agencias de viajes, operadores turísticos y servicios de reservas;
  • hoteles, casas rurales, campings;
  • gimnasios y centros deportivos ;
  • bares, restaurantes, etc.

Aunque el número de empresas de este sector descendió con la crisis económica, en los últimos años han aumentado hasta superar los niveles anteriores a la crisis, pasando de las 374.540 en 2009 a 376.724 en 2016 (INE):

Evolución del número de empresas dedicadas al ocio

La mayor parte de las empresas de este sector son microempresas con hasta cinco trabajadores, siendo más del 65% bares y restaurantes.

Amenazas específicas en este sector

Este tipo de empresas es muy heterogéneo y tienen un variado índice de implementación de las nuevas tecnologías en función de la actividad a la que se dediquen. Así, mientras la mayoría de ellas dispone de página web corporativa, son los establecimientos de alojamiento como hoteles los que hacen un uso intensivo del comercio electrónico para la realización de reservas online

La ciberseguridad de estas empresas va a estar condicionada por el manejo datos personales y financieros de clientes, reservas, horarios, etc., pues tendrán que hacer frente a amenazas específicas como son el robo de información o el fraude en el comercio electrónico. Para mitigar estos riesgos, las empresas suelen optar por subcontratar servicios como el soporte informático, el alojamiento web, o cualquier otro servicio de carácter tecnológico a proveedores de servicios tecnológicos externos especializados. En estos casos, hay que tomar precauciones y vigilar la relación con los proveedores exigiendo además de un buen nivel de servicio, garantías sobre:

  • la protección de la información confidencial de los clientes
  • la protección de las comunicaciones entre empresa y proveedor

Es importante tomar medidas de seguridad como nos cuentan los empresarios, Laura y Miguel, en los Itinerarios interactivos sectoriales, unos sencillos y amenos videos interactivos donde podrás ver, para una empresa del sector, este y otros temas de ciberseguridad que te afectan, como contratación de personal, correo electrónico, etc.

Correo electrónico

Otro aspecto importante para las empresas de este sector, es el uso masivo que realizan del correo electrónico para la comunicación con clientes y proveedores. Cada día llegan a los buzones de correo de las empresas gran cantidad de mensajes, algunos con ficheros adjuntos o enlaces maliciosos. Estos mensajes maliciosos utilizan técnicas de ingeniería social, es decir sutiles y elaborados engaños en ocasiones personalizados, para que la persona que los recibe abra el mensaje y realice una acción como desvelar información confidencial o descargar un fichero con malware.

La mejor arma en estos casos es la concienciación y la formación de los empleados en las técnicas de ingeniería social que utilizan los ciberdelincuentes para engañar a sus víctimas, y poder distinguir los mensajes maliciosos de los que no lo son. Existen algunas medidas para evitar este tipo de ataques y prepararnos para identificarlos y evitarlos:

  • Sospechar de los mensajes inesperados que dicen ser urgentes y confidenciales;
  • Fijarse en la redacción de los mensajes sospechosos recibidos. Suelen estar mal escritos o con faltas ortográficas;
  • Tener precaución al seguir enlaces en correos electrónicos, aunque sean de contactos conocidos,
  • Tener precaución al descargar ficheros adjuntos de correos, aunque sean de contactos conocidos;
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.

Además de entrenarte contra la ingeniería social, debes tomar ciertas precauciones. El siguiente video muestra seis medidas que has de implantar en tu empresa para un uso seguro y responsable del correo electrónico.