Todas las industrias del mundo son vulnerables al phishing y otros ataques cibernéticos, pero el comercio minorista y la hostelería se encuentran entre los objetivos de mayor valor para los piratas informáticos que buscan información de identificación personal (PII) e información de tarjetas de pago (PCI). Estas dos industrias suelen figurar entre las tres más vulnerables, justo detrás de las instituciones financieras. Esa vulnerabilidad se hizo evidente a principios de este mes cuando el ciberataque del MGM Grand cerró cientos de juegos de casino y deshabilitó las tarjetas de habitaciones de hotel. Según se informa, la empresa perdió entre 4,2 millones de dólares y 8,4 millones de dólares en ingresos diarios durante el ataque.
Las empresas minoristas y hoteleras (R&H) recopilan datos PII y PCI a través de muchos puntos de interacción con el cliente: programas de fidelización, sitios de reserva, historiales de compras almacenados o datos del recorrido del cliente. Pero los datos en sí pueden residir en lugares vulnerables a ataques, como sistemas de puntos de venta (POS), centros de llamadas o estaciones de trabajo compartidas. En algunos casos, estos sistemas pueden instalarse en infraestructuras heredadas, que a menudo no cuentan con medidas de seguridad actualizadas para la autenticación, lo que podría dejar la seguridad y los datos personales de sus clientes en alto riesgo de sufrir ataques cibernéticos.
Se necesita una solución de autenticación multifactor (MFA) sólida y resistente al phishing para proteger este tipo de datos y acceder a ellos de forma segura. Como industrias que a menudo trabajan directamente con los consumidores, R&H tiene el desafío adicional de garantizar que cualquier solución MFA sea fácil de usar y de entender. Los consumidores suelen ser blanco de estafas de credenciales robadas a través de “ingeniería social”: un informe reciente de investigación de violaciones de datos de Verizon encontró que el 74% de las violaciones son causadas por credenciales robadas. Un segundo método de autenticación (o mejor aún, sin contraseña)– es crucial para evitar ser víctima de otro ciberataque. Los nombres de usuario y las contraseñas, y otras MFA heredadas, como SMS, aplicaciones de autenticación móvil y códigos de acceso de un solo uso, no ofrecerán suficiente seguridad ni permitirán buenas experiencias de usuario.
Hoteles Hyatt y YubiKeys
Recientemente, los hoteles Hyatt llegaron a una encrucijada en materia de seguridad : los sistemas de autenticación heredados no satisfacían sus necesidades. Art Chernobrov, director de identidad, acceso y terminales de Hyatt, ya estaba harto del antiguo sistema de autenticación. Su enorme cadena hotelera tenía 200.000 empleados que se movían entre 1.500 ubicaciones (y trabajaban de forma remota) y ya se había alejado de los nombres de usuario y contraseñas tradicionales. Los empleados utilizaban una contraseña de un solo uso (OTP) enviada por SMS, lo que creaba una atmósfera de «fatiga de MFA», ya que había numerosas indicaciones de MFA diariamente.
“He visto los compromisos en la industria, y en otros lugares, que surgen de la fatiga y de las solicitudes del MFA, que la gente simplemente acepta ciegamente. No quieres ser ese tipo. No quieres que esté bajo tu supervisión”.
Art Chernobrov, director de identidad, acceso y terminales, Hyatt
YubiKeys ofreció una solución que funcionó bien con las autenticaciones de Microsoft existentes de Hyatt, como Entra ID (anteriormente Azure ID) y SSO. Con una clave de seguridad resistente al phishing y vinculada al hardware, la fatiga de MFA ya no era un problema y la organización en su conjunto podía adoptar un futuro sin contraseñas. Hyatt Hotels está aprovechando YubiKeys y sin contraseña para reducir los riesgos y mejorar la experiencia de los huéspedes en sus lobbys.
Cubriendo las bases de ciberseguridad del comercio minorista y hotelero
La implementación de una nueva solución MFA debe comenzar con cierta diligencia debida y auditoría interna. Por eso es fundamental seguir una guía comprobada para asegurarse de tener toda la información que necesita. En general, es bueno comenzar una implementación con los usuarios de alto valor manejando los datos más confidenciales. Estos empleados están más motivados para seguir instrucciones y adoptar un nuevo sistema. Una vez que MFA se pruebe con ese grupo, amplíe los casos de uso implementándolo al resto de la fuerza laboral.
Recomendamos que un inventario de aplicaciones clave forme parte de su auditoría interna. Durante ese inventario, puede hacer estas preguntas para cada aplicación o escenario de autenticación.
- ¿Quién necesita acceso?
- ¿Qué enfoque de autenticación adoptará?
- ¿Cómo gestiona actualmente el acceso: IAM, IdP, PAM, SSO o VPN?
- ¿Cómo es su fuerza laboral? Remota, híbrida, local o en múltiples ubicaciones.
- ¿Qué dispositivos utilizan: propios, BYOD, de escritorio, portátiles, teléfonos inteligentes, tabletas, terminales POS o escáneres de inventario?
Ven a saludar a Dallas en la Cumbre RH-ISAC
La Cumbre de Ciberinteligencia RH-ISAC 2023 se celebrará en Dallas, Texas, del 2 al 4 de octubre. Expertos y ejecutivos en ciberseguridad del comercio minorista y hotelero estarán allí para discutir las últimas tecnologías que protegerán este sector en 2024, y Yubico también asistirá. Ofrecemos un código de descuento para aquellos que quieran registrarse aquí .
Todos los miembros principales de RH-ISAC ya reciben entrada gratuita al evento, pero el código de descuento se aplicará a cualquier miembro que no sea miembro de RH-ISAC.
Visítenos en una emocionante sesión de trabajo que organizaremos con T-Mobile el miércoles 4 de octubre a las 10 a. m. Will Coleman, ingeniero principal de soluciones de Yubico, hablará con Henry Valentine, gerente sénior de ciberseguridad de T-Mobile. Arquitectura y estrategia. Durante la sesión, Valentine compartirá cómo T-Mobile pasó a la autenticación FIDO2 sin contraseña, resistente al phishing y respaldada por hardware para proteger los datos de los clientes y la infraestructura crítica.
Para más información , pinche aquí.