En los últimos meses han surgido varios informes sobre problemas de seguridad asociados a una tendencia reciente en la hotelería, causando una gran preocupación entre los profesionales de TI y entre los profesionales de la industria.
Esta tendencia es el desarrollo de aplicaciones dirigidas al cliente del hotel, que permiten a los usuarios acceder a una gran variedad de información del hotel, sus servicios, restauración y también el control de su entorno de la sala, como las luces, controles de temperatura o el televisor.
Por ahora no hay duda sobre el hecho de este concepto se convertirá en un estándar de facto en la industria. De hecho, en 2020, el 95% de los clientes creen que los hoteles «solicitarán cada vez más las nuevas tecnologías para aumentar drásticamente la eficiencia, reducir los costes y mejorar el servicio». Sin embargo, un reciente incidente en un hotel en China ha provocado preocupaciones acerca de la implementación de este tipo de aplicaciones, desde una perspectiva de seguridad de TI.
Durante el incidente, un hacker fue capaz de controlar luces, cortinas y aire acondicionado en otras habitaciones al interceptar el tráfico de la tablet con el servidor de control de la sala y ser capaz de leer, modificar y repetir ciertos comandos a su antojo.
Hay, por tanto, una serie de consideraciones desde una perspectiva de infraestructura que deben ser tenidas en cuenta para evitar tales escenarios.
Como punto de partida, los responsables de TI deben considerar los dos escenarios de implementación más comunes de este tipo de aplicaciones: una tablet en la habitación o una aplicación descargable accesible en los propios dispositivos de los huéspedes. Ambas opciones han demostrado sus beneficios. Por ejemplo, la tendencia BYOD (Bring your own device) reduce el coste y permite a los clientes a utilizar la aplicación fuera del hotel o antes y después de su estancia.
Los problemas a los que administradores de TI se enfrentan en ambos escenarios son la conexión de las aplicaciones de los sistemas internos del hotel, como el Sistema de Gestión de la Propiedad (PMS), el Punto de Venta o dispositivos de control de la sala.
Inicialmente, es fundamental tener en cuenta la forma en que el dispositivo se conecta a su servidor de backend, donde se gestiona el contenido y otras funcionalidades y procesos de la aplicación, y si este servidor se encuentra en la nube o en propiedad. En segundo lugar, ¿cómo afecta la comunicación con otros sistemas en el hotel trabaja y cómo se puede asegurar?
Para una tablett que se empareja a la habitación, la mejor práctica incluye protección por contraseña SSID para conectarse a la red a través de Wi-Fi, que figura a una zona de VLAN de confianza e independiente de la red de invitados. Esto asegurará el tráfico, y por lo tanto un intruso no puede interceptar los datos y comandos. En segundo lugar, los responsables de TI deben asegurarse de que sus proveedores de aplicaciones cifran todo el tráfico de la tablet para el servidor back-end mediante SSL, el cual, en caso de producirse una intrusión, no permitirá que cualquier persona con malas intenciones pueda entender los comandos que se envían y repetirlos para otras habitaciones, por ejemplo.
Si bien estas normas se aplican tanto para la nube y como para sistemas desplegados localmente, los gerentes de TI debe tener en cuenta que normalmente las implementaciones basadas en la nube vienen con una serie de beneficios en términos de mantenimiento y soporte. Sin embargo, hay escenarios en que los servidores locales podrían ser preferibles, como en ubicaciones geográficas con mala conexión a Internet.
También es una buena práctica conectar la aplicación en el dispositivo a un sistema de terceros en el hotel para funcionar a través del servidor back-end antes mencionado, en lugar de permitir que cada dispositivo pueda conectarse directamente a sus sistemas críticos de forma independiente. Esto asegurará que la conexión con el PMS, por ejemplo, se puede proteger con facilidad, ya que se limita a una sola línea de comunicación entre la máquina interfaz PMS y el servidor que ejecuta los servicios de back-end, a la que se conecta la aplicación a fin de recibir datos. Tal conexión puede ser protegida a través de restricciones basadas en IP VPN, y mediante el uso de proveedores que fijan sus API de interfaz a través de métodos de autenticación adecuados.
La tendencia BYOD implica una cierta complejidad adicional, al conectarse los dispositivos al servidor de fondo con el Wi-Fi o 3G público, en lugar de una red que puede ser controlada por el hotel. Aquí, las medidas adicionales para autenticar dispositivos deben extremarse, por ejemplo, un cliente sólo puede controlar las luces si se han introducido un número PIN que se muestra en el televisor y que se restablece para todos los huéspedes a la salida.
En resumen, los profesionales hoteleros necesitan asegurarse de que el proveedor elegido puede suministrar documentación y un flujo de datos adecuado que cubra los puntos anteriores. Además, deben ser capaces de ilustrar su enfoque de la seguridad de la comunicación entre la tablet, el servidor de aplicaciones y sistemas de terceros. Dados los problemas que han surgido, esta diligencia es esencial cuando se considera un proveedor. Su puesta en práctica, un proceso RFI detallada de todos los interesados pertinentes de la propiedad es esencial y puede facilitar el proceso de adquisición de la información de los proveedores y, posteriormente, las comparaciones entre los proveedores preseleccionados.
————————————————————-
Florian Kriechbaumer es Product Development Director, iRiS Software Systems Ltd, una compañía londinense especializada en el diseño de aplicaciones interactivas de servicios para los huéspedes, ofreciendo aplicaciones diseñadas para hoteles, compañías de cruceros y restaurantes. Las aplicaciones de IRIS están diseñadas para mejorar la experiencia del cliente, aumentar los ingresos y reducir los costes, mejorar las comunicaciones entre los clientes y el personal y proporcionar una herramienta de marketing inteligente.
Más de 300 hoteles y restaurantes en todo el mundo en la actualidad trabajan con iRiS. IRiS tiene representación en todos los continentes y tiene oficinas en Reino Unido, EE.UU. y Asia. Los países con instalaciones de iris son: EE.UU., Canadá, Reino Unido, Francia, Alemania, Austria, Hungría, Mauricio, Suiza, China, Hong Kong, Tailandia, Singapur, Malasia, Rusia, los Emiratos Árabes Unidos, India, Kenya, Malta, Turquía, Qatar y Australia.
Imágenes cedidas: Shutterstock
