Turismo digital: la protección de datos es indispensable

ciberseguridad
29 Septiembre 2020 Mildred Ramo - Expansión
[Imagen: Pete Linforth en Pixabay ]

En una era de franca expansión tecnológica en el sector, debe tomarse en cuenta la inclusión de elementos técnicos, legales y corporativos para garantizar la identidad digital del usuario. 

Que los viajes puedan planearse, en su totalidad, desde plataformas electrónicas y aplicaciones (apps) es cómodo, útil y rápido. Pero también puede representar algunos riesgos que suelen pasar inadvertidos ante la emoción de las próximas vacaciones: ¿en dónde estoy dejando mis datos y qué están haciendo con ellos? 

Nombre completo, edad, número de pasaporte, correo electrónico, teléfono, tarjeta de crédito o débito… la lista de los datos que debemos dejar durante estos trámites incluye casi toda la clasificación de información sensible. Una enorme responsabilidad para las empresas que los reciben y un riesgo nada menor para quienes los comparten. 

Hoy, que cada día se suman empresas turísticas a la vida digital, deben tomar en cuenta las sugerencias de los expertos para lograr buenas prácticas en esta área. Primero que nada, la responsabilidad legal que esto implica. 

“Claramente una buena recomendación es reconocer la normatividad aplicable en cada uno de los países en los que habrá de tener consecuencia o acción el servicio que se presta”, explica Gibrán Hazar Navarro, socio de Litigio Estratégico Administrativo en la firma Chevez Ruiz Zamarripa. “(Por ejemplo) el tratamiento y el almacenamiento de la información deberían estar sujetos al país de origen y al país destino”, agrega. De ahí que en la mayoría de las ocasiones deba hacerse un ejercicio de derecho comparado, visto bajo la asesoría de un especialista legal de cada país. 

El acopio y uso de datos personales cada vez está más regulado en el mundo, sin que México sea la excepción. Aquí los reconocemos como Derechos ARCO, un derecho humano presente en el décimosexto artículo de la Constitución Mexicana, párrafo segundo. Señala que toda persona tiene derecho a la salvaguarda de su información personal y además, al Acceso, Rectificación, Cancelación y Oposición (ARCO) de sus datos. 

—¿Cuál es el riesgo en el que incurren las empresas si no dan el tratamiento adecuado a la información de sus usuarios, en este caso de los viajeros? 

—Gibrán Hazar: Se arriesgan a ser sujeto de sanciones administrativas por parte de las distintas autoridades, que pueden iniciar revisiones de oficio, pero también por motivos de denuncia de los titulares de los datos. También se arriesgan a otro tipo de responsabilidades que derivan de la actividad misma y que pueden obtener, como consecuencia, la obligación de indemnizar por daños y perjuicios cuando pueden ser sujetos de robo de identidad o detrimento patrimonial o de daño moral, algún tipo de afectación o desprestigio a su reputación. Además de generar consecuencias administrativas, como multas y acciones que también dan lugar a la obligación de indemnización a los afectados.

En la vida cotidiana, esto se traduce de manera muy simple: si un hacker roba la información de los usuarios, o si hay un mal uso por parte de un empleado interno, puede haber serias consecuencias para la empresa turística: desde multas, hasta demandas, dañando, de paso, su prestigio, uno de sus activos más importantes. 

De ahí que para Félix Barrio Juárez, director del Hub de Ciberseguridad del Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM), el primer punto de la seguridad en el manejo seguro y la protección de los datos comience en la creación de políticas al respecto. 

“Como primer paso, la empresa debe ejercer un control de acceso a esta información: quiénes la manejan y hasta qué nivel pueden verla, para evitar filtraciones”, señala Barrio Juárez. Las compañías turísticas, agrega, están entre los sitios favoritos de los ciberdelincuentes y de defraudadores, precisamente por la naturaleza de los datos que ahí se manejan. 

No hay que perder de vista que esto forma parte de lo que se requiere para estar bajo la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Así que la política de tratamiento de datos, así como los Avisos de Privacidad forman una parte esencial del tratamiento legal que debe considerarse. 

Hasta aquí hemos visto dos puntos importantes: asesorarse con expertos para saber cómo se protegen los datos personales en territorios en donde operará el negocio turístico, y luego establecer medidas de seguridad en el equipo de trabajo para crear una empresa con prácticas seguras en el respeto de los datos y la privacidad de los usuarios. 

Certificados SSL 

Ahora entra un tercer elemento a la ecuación: la protección tecnológica. De ella nos comenta  Dean Coclin, director senior de Desarrollo de Negocios de DigiCert, el principal proveedor mundial de soluciones escalables para servicios de identidad y cifrado. 

“Las empresas de viajes que controlan y administran aplicaciones y plataformas digitales requieren implementar un certificado SSL (Secure Socket Layer) que agrega una capa de seguridad para proteger el intercambio de información confidencial entre un navegador web y un servidor”, detalla Colin. 

Este protocolo de seguridad estándar encripta nombres de usuario, contraseñas, números de tarjetas de crédito y otra información confidencial compartida en línea, manteniéndola a salvo de un posible atacante. Todos los servidores web de internet necesitan un certificado SSL.

“Hoy, el impulso para cifrar la web de forma predeterminada obedece a la protección del libre intercambio de ideas y la privacidad del usuario, frente a intrusos de organismos gubernamentales o aquellos con intenciones criminales. Las empresas ya no pueden ignorar el uso de certificados TLS, no sólo en los sitios que realizan transacciones de información de valor, sino en todas las páginas de sus dominios web, ya sea públicas o internas”, explica. 

Este aspecto de la tecnología para protección coincide con la necesidad que señala, a su vez, el abogado Gibrán Hazar: la importancia del resguardo de la información incluso frente a diversas autoridades y agentes económicos. “Vemos que, cada vez más, este tipo de información está siendo del interés de las autoridades, muchas veces bajo criterios que apuntan hacia la seguridad de las personas, pero que, no obstante la buena intención, este tipo de acciones chocan con la protección constitucional de estos derechos”. 

Todo esto destaca la importancia de que las empresas cuenten con certificados de seguridad (SSL) y cifrado, para evitar pérdidas  económicas, sociales, legales, de reputación y comerciales. 

“Ninguna empresa es inmune a un ciberataque; por este motivo las organizaciones deben aprender a mejorar sus niveles de protección, detectando cuáles son las áreas en las que necesitan invertir más tiempo, dinero y esfuerzo para protegerlas mejor”, detalla Dean Coclin. “Lo importante es que las empresas sean capaces de identificar a qué riesgo están más expuestas y dónde tienen la información más sensible, de modo que los esfuerzos de protección se centren en resguardar lo que más les interesa”.

Empresas: las medidas básicas 

Félix Barrio, del ITESM, enumera los aspectos organizacionales que son indispensables para complementar tanto a las acciones legales como a las medidas tecnológicas. Esa es la tríada de seguridad en la protección de datos, inseparable para ser efectiva: ningún aspecto funciona aislado. 

  • Conciencia del ciberataque. Los casos de secuestro informativo (ransomware) son cada vez más frecuentes. Por lo tanto, es importante contar con copias de seguridad para una recuperación sin riesgos, en caso de infiltraciones y destrozos a las bases de datos. 
  • Manejar información cifrada. Las bases de datos deben estar convertidas a códigos que no puedan ser descifrados por intrusos. 
  • Administrar políticas en el uso de contraseñas. Que sean robustas, de doble autenticación. 
  • Que el sistema operativo corra siempre en la versión más reciente y que todos los dispositivos cuenten con antivirus, también actualizados. 
  • Borrado seguro. Debe contarse con un sistema de borrado de información, que sea seguro y no deje rastros recuperables. 
  • Proveedores seguros. Al contratar servicios externos, la empresa debe cerciorarse de que estos también cuentan con altas medidas de seguridad en todos sus servicios digitales. 

La responsabilidad del viajero 

Sobre los hombros de los turistas también recae la responsabilidad de cerciorarse de que está protegiendo sus datos. Coclin, de DigiCert, hace algunas sugerencias para una travesía digital segura. 

  1. Examine un sitio en busca de indicadores de confianza. Verifique si el sitio web que está utilizando es legítimo. Los consumidores pueden mirar más allá “del candado” (que aparece al inicio de la URL de la página) haciendo clic en el candado para ver la información del certificado y los detalles de la organización. No acceda a sitios que no usen el cifrado para transmitir datos, comúnmente conocido como cifrado TLS / SSL.
  2. Proteja sus datos. No proporcione más información de la necesaria. Si se le solicita información muy personal, llame al servicio de atención al cliente para ver si puede utilizar otra información de identificación.
  3. Actualice su software. Así puede evitar que los ciberdelincuentes exploten alguna debilidad. En particular, asegúrese de que su navegador esté actualizado y no instale software o complementos sospechosos.
  4. Trate las ofertas en su correo electrónico con sospecha: los correos electrónicos publicitarios a menudo son maliciosos y pretenden ser negocios legítimos y los piratas informáticos utilizan "promociones de viajes" para robar sus datos.
  5. Siempre guarde el recibo y la información de confirmación del pedido. Si su boleto o reserva no llegan, revise el sitio para obtener información de contacto para poder llamar al vendedor del servicio. 

Félix Barrio Juárez, director del Hub de Ciberseguridad del Tec, señala algunas otras medidas que pueden hacer la diferencia en la protección de sus datos: 

  1. Use antivirus en su celular, además de su computadora.
  2. Evite el uso de redes públicas para manejar su información sensible. Integre una VPN (red de conexión privada ) en sus dispositivos. Esto le protegerá extensamente de ataques maliciosos.
  3. Medios de pago reconocidos. Elija las pasarelas de pago oficiales, bien acreditadas. Si estás familiarizado con ellas, notarás de inmediato si hay algún cambio. 

“Una buena práctica siempre será no solamente esperar a que las normas nos protejan. Como responsables de nuestros datos personales estamos obligados a custodiarlos”, concluye Gibrán Hazar, de la firma la firma Chevez Ruiz Zamarripa. “No por el hecho de ser intangibles deben ser objeto de descuido(...) Hay una conciencia cada vez más acentuada de la necesidad de proteger sus datos”.

 

Compartir

Notas relacionadas

pms,
mauricio jaramillo,
sustentabilidad
food and  travel awards