Blog

Riesgos de seguridad del wifi en los hoteles y establecimientos

El wifi se ha convertido en un commodity, un servicio que los clientes exigen cuando se alojan en un hotel, que sea gratuito y de calidad. Pero, ¿es seguro? La inmensa mayoría no es consciente de los peligros que entraña acceder a internet a través de una red pública si ésta no cuenta con las medidas de seguridad adecuadas, lo que aparentemente es más habitual de lo que cabría pensar.
Lo cierto es que la demanda de wifi se ha disparado en los últimos años. Los estudios del sector revelan que en 2013 se comercializaron 1.000 millones de smartphones con conexión wifi en todo el mundo, pero en tres años esta cifra alcanzará los 7.000 millones de dispositivos. Para 2020 se prevé que 24.000 millones de aparatos estén conectados a internet, la mayoría con acceso wireless. No en vano el 90% de los smartphones está equipado con wifi y el 93% de las tablets sólo tiene este tipo de conexión. De hecho el 71% de las comunicaciones móviles ya son a través del wifi, el servicio más importante en un hotel para el 94% de los usuarios.

business-travel-hotel
La conexión a internet sin cable se ha convertido así en un servicio crítico y prioritario para los hoteles, al que sin embargo acechan amenazas cada día mayores que ponen en peligro al cliente, al establecimiento hotelero y en su caso a la cadena.
Los hoteles, al requerir los datos del cliente para identificarle antes de darle acceso a la red, se convierten en responsables de datos personales y han de custodiarlos, cumpliendo así con la normativa genérica de Protección de Datos Personales,
. Esta normativa, “se está reformando y en 2015 al entrar en vigor la nueva ley de seguridad ciudadana se aprueba un nuevo reglamento con obligaciones más estrictas, con el fin siempre de proteger más al usuario”.

Esta nueva legislación especifica que para dar acceso a una red pública “se ha de tener claramente identificada y distinguida a la persona física que accede o presta sus datos, por lo que las claves colectivas no se permitirían porque no identifican a cada usuario, algo que actualmente también exige la normativa de Retención de Datos”.
Y es que si el hotel es el prestador del servicio ha de responder también ante la legislación de Retención de Datos, normativa de seguridad que obliga no sólo a custodiarlos sino a facilitar a las Fuerzas de Seguridad del Estado quién accede a esa red y en qué momento, en el caso de que lo reclamen con motivo de alguna investigación en curso, que suele estar relacionada con pedofilia o delitos fiscales.
Pero todo depende, como describe Escribano, de “la manera en que se comercializa el servicio, porque el hotel puede ser considerado operador de telecomunicaciones.
No obstante hay determinados mecanismos jurídicos para que, a través de una arquitectura contractual, el hotel esté más protegido al pasar a ser un agente que comercializa el servicio del prestador, pero para ello el contrato de telecomunicaciones ha de estar suscrito entre el operador y el usuario”.
Esta normativa, a la que sólo están sujetos los operadores de telecomunicaciones, supone, “una carga mayor que la de protección de datos genérica, sobre todo por el tiempo que se obliga a retener esa información”

La Ley de Retención de Datos además exige identificar a la persona que accede a la red, “a través de tres criterios: nombre y domicilio, DNI o Teléfono la llamada identificación del usuario, que parece referirse a la IP pública .La dirección MAC, no podría servir para identificar al usuario ya que no existe registro de MACs además de ser un dato facilmente duplicable”, así pues tampoco son admitidas identificaciones mediante redes sociales.
Desde luego, “como seguro que cumple el hotel es efectivamente si cuando da la clave de acceso recaba el nombre, apellidos, DNI o teléfono y direccion IP pública.. En el fondo es un procedimiento que no es muy complicado, pero que muchas veces no se cumple.
Hay que tener en cuenta la dificultad de obtener redireccionamiento IP público así como la autorización por parte de las operadoras convencionales para poder revender o utilizar su señal de internet para usarlo con terceras personas.

En todos los casos estas prácticas están prohibidas por el contractural de suministro de acceso a internet.

El riesgo se acrecienta,, “cuando hay un único nombre de usuario y contraseña, sobre todo en zonas comunes y salones, donde además no tienes convenientemente identificados a los usuarios, porque en ese caso has abierto la puerta principal de tu disco duro y de tu red privada virtual a alguien experto en telecomunicaciones, que puede acceder a ellos a través del wifi”.
Para evitar estos casos, “la normativa también impone obligaciones, sobre todo a determinados colectivos, para prevenir ciberataques. Por ejemplo, la Ley de Protección de Datos establece que el responsable de los datos personales tiene que aplicar determinadas medidas de seguridad, con el fin de evitar que exista una fuga de datos. Cada vez hay más obligaciones y se están debatiendo más para intentar prevenir lo que cada vez es más común. Aunque no existen todavía tan detalladas, es posible que las haya en un futuro, pero efectivamente si estableces el mismo nombre de usuario y contraseña estás dotando de una mayor inseguridad a todos los datos que pasan por la red y por tu establecimiento”.
“El hotel puede dar una clave única para acceder a la red wifi, siempre que detrás haya una capa de servicio que registre las conexiones:, dirección IP pública, tiempos de conexión, fechas, horas y demás. De este modo entra dentro de la legalidad, aunque lamentablemente no suele ser lo habitual”. En los casos en los que no existe esa capa de seguridad, “el hotel no cumple la ley porque no identifica al usuario, pero es que además sus clientes están asumiendo un riesgo importante que desconocen por esa falta de seguridad”.
Por ello, “desde el punto de vista de la responsabilidad legal, cuanto mejor estés cumpliendo la normativa existente de prevención, menos responsabilidad legal tendrás en el caso de que ocurra un incidente. Es importante, porque aparte de las sanciones, que según la nueva normativa de Protección de Datos que está a punto de aprobarse pueden llegar a un máximo del 5% de la facturación, el coste reputación al para un hotel en el que se produzca una fuga de datos puede ser inmenso”.

Desconocimiento
El problema, “el hotelero no tiene por qué ser un experto en telecomunicaciones y muchas veces al tomar la decisión de qué red instalar incurre sin saberlo en riesgos jurídicos o de seguridad en el servicio. Y más teniendo en cuenta que tanto la legislación como la propia demanda están en constante evolución, porque la necesidad de wifi es algo absolutamente imparable”.
Sin embargo, “los hoteleros prestan ese servicio porque ante la creciente demanda es algo incuestionable, pero le dan la misma importancia que al tener agua caliente u ofrecer el periódico por la mañana, aunque es mucho más complejo, con riesgos adicionales de los que muchas veces no son conscientes”. Como tampoco los propios clientes son conscientes de los problemas de seguridad que puede implicar una red no segura.
Y es que, “en el tema de la seguridad hay que analizar dos puntos de vista: la de la propia red (es muy importante que haya ciertos parámetros de seguridad dentro de la red a la que te conectas, que por ejemplo no puedas tener acceso a los equipos de gestión, es decir, al punto de acceso o al router), pero también bloquear el tráfico entre clientes, de manera que aunque estén en la misma red no puedan verse entre ellos, gracias al aislamiento total de cada usuario para evitar que alguien ajeno pueda acceder a su dispositivo. Esta medida, que debería ser la habitual en las redes públicas, no siempre se cumple”.
El usuario, por su parte, “ha de entender que si se conecta a una red pública va a estar mucho más expuesto que si está en su casa o en su oficina conectado a la red con su cable, para adoptar entonces unas mínimas medidas de protección, como activar el firewall de Windows”.
No obstante, “en la prestación de este servicio tienen que ir de la mano seguridad y calidad, teniendo como foco la experiencia del cliente”.

Posted in: Otros

Leave a Comment (0) ↓