La importancia de la ciberseguridad y la confianza digital en el sector turismo

El turismo ha abrazado la digitalización como una herramienta esencial para atraer y retener a los consumidores. Según el portal de estadísticas en línea Statista, el 72 % de los viajeros latinoamericanos prefieren realizar pagos y reservas de manera digital. Sin embargo, esta situación también aumenta el riesgo de que estos negocios sufran algún tipo de ciberataque, como las filtraciones de datos de las aerolíneas Iberia (España) y Qantas (Australia) en el 2025.

Los hoteles, las agencias de viajes y los organismos gubernamentales, entre otros actores clave del sector turismo a nivel mundial, deben abordar con urgencia los nuevos desafíos en materia de seguridad que trae consigo el proceso de transformación digital. Cada minuto de inactividad o exposición puede significar pérdidas millonarias, impacto reputacional y sanciones regulatorias. 

Contexto internacional

Los ciberataques globales alcanzaron cifras récord en el 2025. Según los datos más recientes de Kaspersky, se detectaron hasta 500 000 archivos maliciosos entre enero y diciembre del año pasado, es decir, un 7 % más que en el 2024. Entre las modalidades más empleadas por los ciberdelincuentes, resaltan el robo de contraseñas, la instalación de software espía (spyware) y el uso de virus de puerta trasera (backdoor).

En este escenario, las compañías de alojamiento corren un alto riesgo, ya que suelen registrar muchas transacciones digitales y acumulan grandes volúmenes de información asociada a la titularidad de las tarjetas de crédito de sus clientes. En el caso de las agencias de viajes y los servicios de reserva, su mayor vulnerabilidad es que no siempre evalúan de manera adecuada y continua a todos los proveedores de servicios que forman parte de sus cadenas de suministro.

Entre los tipos de ciberataque más comunes en estos negocios, se pueden mencionar:

—   Filtraciones de datos. Es una de las amenazas más devastadoras para la industria del turismo, pues conlleva el robo de pasaportes y números de tarjetas de crédito de los turistas.

—   Ransomware. Estos ataques pueden impedir el acceso de los huéspedes a sus habitaciones y desactivar los sistemas de reservas de los hoteles, lo que conlleva la interrupción de operaciones y cuantiosas pérdidas financieras.

—   Phishing. Consiste en suplantar la identidad de reconocidas marcas de viajes para engañar a los clientes y conseguir que revelen información personal o financiera. La falta de un filtro de correo electrónico suele desencadenar este tipo de ataques.

Problemática nacional

En Perú, el 67 % de la población adulta ya utiliza productos y servicios financieros digitales, según la Superintendencia de Banca, Seguros y AFP (SBS). No obstante, en 2024 el país también registró más de 45 500 millones de intentos de ciberataques, según la firma de seguridad Fortinet. Las amenazas más comunes son el ransomware, el phishing y los ataques automatizados con inteligencia artificial (IA).

El Reporte Global de Amenazas 2025 de Fortinet reveló que, en el 2024, los sistemas peruanos enfrentaron hasta 36 000 intentos de escaneo por segundo, llevados a cabo por ciberdelincuentes que desean recabar información previa de sus posibles víctimas. Estos datos luego pueden explotarse mediante el uso de herramientas impulsadas con IA.

Otra conclusión del reporte de Fortinet es que la expansión del 5G y las redes celulares privadas en el territorio nacional han ampliado el rango de ataque de los ciberdelincuentes. Cuantos más dispositivos se conectan a una misma red, como sucede en muchos hoteles, mayor es el riesgo de sufrir un robo de información personal y financiera.

Para mitigar estos problemas, el Estado peruano resguarda la información sensible de la ciudadanía mediante la Ley de Protección de Datos Personales, que fue actualizada el 2024 para adaptarse al uso de herramientas digitales. Otro recurso clave es el Formulario Virtual Único de Registro de Incidentes de Seguridad de la Información, desarrollado por la Presidencia del Consejo de Ministros y el Ministerio de Justicia y Derechos Humanos.

Apuntes finales

La digitalización del sector turístico ha impulsado la competitividad y la eficiencia, sin embargo, ha dejado expuesto un punto débil que no se está manejando con el rigor requerido. Aunque el artículo identifica las amenazas más frecuentes, la reflexión debe ir más allá: hoy en día, la confianza digital es un activo estratégico para el turismo. Cuando un hotel pierde información sensible o una aerolínea es atacada por ransomware, no solo sufre pérdidas económicas inmediatas, sino que también socava la confianza de toda la industria ante clientes cada vez más recelosos.

En un escenario en el que el viajero digital latinoamericano utiliza cada vez más aplicaciones y plataformas para hacer reservas de hoteles, vuelos y experiencias, es insuficiente simplemente poner en marcha antivirus o respaldos de información. Es necesario contar con sistemas de ciberresiliencia que integren la prevención, el monitoreo en tiempo real y la habilidad de responder al instante. Un incidente de seguridad en turismo no solamente detiene las operaciones, sino que también tiene el potencial de revelar rutas de viaje, ubicaciones en tiempo real e incluso costumbres de consumo de los viajeros. Si estos datos se utilizan indebidamente, pueden significar un riesgo físico y no solo financiero.

Por lo tanto, las compañías del sector turístico deben adoptar un enfoque integral que abarque:

• Gestión de proveedores con auditorías continuas, dado que la cadena de valor del turismo es amplia y cualquier eslabón débil pone en riesgo al resto de actores.

• Protocolos de ciberseguridad que se ajusten a normas internacionales (PCI DSS, GDPR, ISO 27001), no solamente para satisfacer los requerimientos, sino también como una garantía concreta de confianza.
• Simulacros de crisis cibernéticas, con el fin de garantizar que los empleados sepan cómo actuar ante un ciberataque.
• Transparencia comunicacional: reconocer una filtración puede ser menos caro que encubrirla, ya que la reputación será más complicada de recuperar.

Según los datos de Fortinet, Perú es un objetivo frecuente. La expansión de la tecnología 5G y el aumento progresivo del turismo, tanto interno como internacional, amplían el área de ataque. En este contexto, las autoridades no pueden conformarse con regulaciones que sean solo reactivas. Es urgente que se fortalezcan las colaboraciones entre el sector público y privado en el ámbito de ciberinteligencia, que se creen plataformas específicas para el turismo para emitir alertas tempranas e informes y que se formulen campañas de alfabetización digital dirigidas a los usuarios, quienes constituyen la primera línea de defensa.

Por último, es importante que comprendamos que la ciberseguridad no es un gasto operativo, sino una inversión en confianza y competitividad. El turismo, fundamentalmente, es un negocio basado en experiencias y confianza. Si el viajero siente que su información financiera o personal está amenazada, no se puede mantener ninguna campaña de promoción internacional, estrategia de marketing o infraestructura lujosa. Las compañías y los destinos que se muestren como confiables digitalmente tendrán un beneficio evidente en la captación y conservación de turistas en el futuro próximo.