El wifi se ha convertido en un commodity, un servicio que los clientes exigen cuando se alojan en un hotel, que sea gratuito y de calidad. Pero, ¿es seguro? La inmensa mayoría no es consciente de los peligros que entraña acceder a internet a través de una red pública si ésta no cuenta con las medidas de seguridad adecuadas, lo que aparentemente es más habitual de lo que cabría pensar.
Lo cierto es que la demanda de wifi se ha disparado en los últimos años. Los estudios del sector revelan que en 2013 se comercializaron1.000 millones de smartphones con conexión wifi en todo el mundo, pero en tres años esta cifra alcanzará los 7.000 millones de dispositivos. Para 2020 se prevé que 24.000 millones de aparatos estén conectados a internet, la mayoría con acceso wireless. No en vano el 90% de los smartphones está equipado con wifi y el 93% de las tablets sólo tiene este tipo de conexión. De hecho el 71% de las comunicaciones móviles ya son a través del wifi, el servicio más importante en un hotel para el 94% de los usuarios.
La conexión a internet sin cable se ha convertido así en un servicio crítico y prioritario para los hoteles, al que sin embargo acechan amenazas cada día mayores que ponen en peligro al cliente, al establecimiento y en su caso a la cadena.
Los hoteles, al requerir los datos del cliente para identificarle antes de darle acceso a la red, se convierten en responsables de datos personales y han de custodiarlos, cumpliendo así con la normativa genérica de Protección de Datos Personales, según explica Blanca Escribano, del despacho de abogados Olswang. Esta normativa, añade, “se está reformando y seguramente en 2015 se apruebe un nuevo reglamento con obligaciones más estrictas que entrará en vigor en un par de años, con el fin siempre de proteger más al usuario”.
Esta nueva legislación especifica que para dar acceso a una red pública “se ha de tener claramente identificada y distinguida a la persona física que accede o presta sus datos, por lo que las claves colectivas no se permitirían porque no identifican a cada usuario, algo que actualmente también exige la normativa de Retención de Datos”.
Y es que si el hotel es el prestador del servicio ha de responder también ante la legislación de Retención de Datos, normativa de seguridad que obliga no sólo a custodiarlos sino a facilitar a las Fuerzas de Seguridad del Estado quién accede a esa red y en qué momento, en el caso de que lo reclamen con motivo de alguna investigación en curso, que suele estar relacionada con pedofilia o delitos fiscales.
Pero todo depende, como describe Escribano, de “la manera en que se comercializa el servicio, porque el hotel puede ser consideradooperador de telecomunicaciones. No obstante hay determinados mecanismos jurídicos para que, a través de una arquitectura contractual, el hotel esté más protegido al pasar a ser un agente que comercializa el servicio del prestador, pero para ello el contrato de telecomunicaciones ha de estar suscrito entre el operador y el usuario”.
Esta normativa, a la que sólo están sujetos los operadores de telecomunicaciones, supone, según indica la abogada, “una carga mayor que la de protección de datos genérica, sobre todo por el tiempo que se obliga a retener esa información, aunque precisamente por ello está ahora cuestionada por el Tribunal de Justicia de la Unión Europea, que se plantea que la duración de ese periodo es excesivo, por lo que puede que finalmente se modifique”.
Identificación del usuario
La Ley de Retención de Datos además exige identificar a la persona que accede a la red, como señala Blanca Escribano, “a través de tres criterios: nombre y domicilio, DNI o la llamada identificación del usuario, que parece referirse a la IP o la dirección MAC, aunque como puede haber una IP común a muchos accesos, sería la MAC lo que podría servir para identificar al usuario”.
Desde luego, en palabras de Escribano, “como seguro que cumple el hotel es efectivamente si cuando da la clave de acceso recaba elnombre, apellidos y DNI. En el fondo es un procedimiento que no es muy complicado, pero que muchas veces no se cumple. Bajando un poco en el nivel de seguridad, puedes dar la misma contraseña pero previa petición de los datos personales para identificar al usuario”.
El riesgo se acrecienta, como advierte Francisco de la Peña, fundador de la empresa tecnológica N2S, “cuando hay un único nombre de usuario y contraseña, sobre todo en zonas comunes y salones, donde además no tienes convenientemente identificados a los usuarios, porque en ese caso has abierto la puerta principal de tu disco duro y de tu red privada virtual a alguien experto en telecomunicaciones, que puede acceder a ellos a través del wifi”.
Para evitar estos casos, aclara Escribano, “la normativa también impone obligaciones, sobre todo a determinados colectivos, para prevenir ciberataques. Por ejemplo, la Ley de Protección de Datos establece que el responsable de los datos personales tiene que aplicar determinadas medidas de seguridad, con el fin de evitar que exista una fuga de datos. Cada vez hay más obligaciones y se están debatiendo más para intentar prevenir lo que cada vez es más común. Aunque no existen todavía tan detalladas, es posible que las haya en un futuro, pero efectivamente si estableces el mismo nombre de usuario y contraseña estás dotando de una mayor inseguridad a todos los datos que pasan por la red y por tu establecimiento”.En este sentido Mario Sáiz Barriuso, del departamento de Ingeniería de Proyectos y Seguridad de N2S, apunta que “el hotel puede dar unaclave única para acceder a la red wifi, siempre que detrás haya una capa de servicio que registre las conexiones: la dirección MAC, dirección IP, tiempos de conexión, fechas, horas y demás. De este modo entra dentro de la legalidad, aunque lamentablemente no suele ser lo habitual”. En los casos en los que no existe esa capa de seguridad, según destaca De la Peña, “el hotel no cumple la ley porque no identifica al usuario, pero es que además sus clientes están asumiendo un riesgo importante que desconocen por esa falta de seguridad”.
Por ello, confirma Escribano, “desde el punto de vista de la responsabilidad legal, cuanto mejor estés cumpliendo la normativa existente de prevención, menos responsabilidad legal tendrás en el caso de que ocurra un incidente. Es importante, porque aparte de las sanciones, que según la nueva normativa de Protección de Datos que está a punto de aprobarse pueden llegar a un máximo del 5% de la facturación, elcoste reputacional para un hotel en el que se produzca una fuga de datos puede ser inmenso”.
Desconocimiento
El problema, afirma el fundador de N2S, es que “el hotelero no tiene por qué ser un experto en telecomunicaciones y muchas veces al tomar la decisión de qué red instalar incurre sin saberlo en riesgos jurídicos o de seguridad en el servicio. Y más teniendo en cuenta que tanto la legislación como la propia demanda están en constante evolución, porque la necesidad de wifi es algo absolutamente imparable”.
Sin embargo, en opinión de Blanca Escribano, “los hoteleros prestan ese servicio porque ante la creciente demanda es algo incuestionable, pero le dan la misma importancia que al tener agua caliente u ofrecer el periódico por la mañana, aunque es mucho más complejo, con riesgos adicionales de los que muchas veces no son conscientes”. Como tampoco los propios clientes son conscientes de los problemas de seguridad que puede implicar una red no segura, según reconocen los expertos de N2S.
Y es que, como subraya Mario Sáiz, “en el tema de la seguridad hay que analizar dos puntos de vista: la de la propia red (es muy importante que haya ciertos parámetros de seguridad dentro de la red a la que te conectas, que por ejemplo no puedas tener acceso a los equipos de gestión, es decir, al punto de acceso o al router), pero también bloquear el tráfico entre clientes, de manera que aunque estén en la misma red no puedan verse entre ellos, gracias al aislamiento total de cada usuario para evitar que alguien ajeno pueda acceder a su dispositivo. Esta medida, que debería ser la habitual en las redes públicas, no siempre se cumple”.
El usuario, por su parte, “ha de entender que si se conecta a una red pública va a estar mucho más expuesto que si está en su casa o en su oficina conectado a la red con su cable, para adoptar entonces unas mínimas medidas de protección, como activar el firewall de Windows”.
Uf! me he quedado agotada.