Los restaurantes llevan años siendo uno de los objetivos favoritos del malware de caja: no porque los hackers le tengan manía a la hostelería, sino porque es un blanco fácil.
Cadenas como Chipotle, Sonic Drive-In y Checkers & Rally's sufrieron en los últimos años infecciones de malware en sus sistemas TPV, a veces durante meses sin ser detectadas, con millones de números de tarjeta robados como resultado. Según el último Data Breach Investigations Report de Verizon, un tercero —un proveedor, un socio de TPV o de software— interviene ya en el 30% de todas las filtraciones de datos, casi el doble que un año antes. Y en el 22% de los casos, una contraseña robada o débil fue la puerta de entrada. No hace falta ser una cadena internacional para convertirte en objetivo: la mayoría de los ataques son automatizados o pasan por un único proveedor vulnerable que da servicio a decenas de restaurantes a la vez. Este artículo te ofrece 9 pasos concretos, en su mayoría gratuitos o muy económicos, para proteger tu restaurante:
- Separa el wifi de tus clientes — nunca en la misma red que tu TPV.
- Blinda tu sistema TPV — actualízalo siempre y desconfía de cualquier "técnico" no anunciado.
- Elige un proveedor de pagos conforme a PCI-DSS — y no guardes tú nunca los datos de tarjeta.
- Usa contraseñas fuertes y verificación en dos pasos — en todas partes, no solo en el TPV.
- Aprende a detectar el phishing y el fraude de facturas — el coste más subestimado de la hostelería.
- Limita el acceso según el rol — y revócalo de inmediato al finalizar un contrato.
- Examina a tus proveedores — su debilidad se convierte en tu filtración.
- Haz copias de seguridad y prueba tu plan de recuperación — antes de que tu TPV se bloquee.
- Conoce tu obligación de notificación — el RGPD te da 72 horas, ni una más.
Por qué la hostelería es un objetivo tan atractivo
Un restaurante procesa a diario decenas o cientos de transacciones con tarjeta, guarda datos de reservas e información de contacto de sus clientes, y a menudo trabaja con hardware de caja anticuado o mal mantenido que lleva años funcionando sin cambios. Súmale una alta rotación de personal y unos conocimientos informáticos limitados, y tienes exactamente el perfil que buscan los atacantes: muchos datos valiosos y poca resistencia. A diferencia de un ataque dirigido contra un gran banco, la mayor parte del malware de TPV es oportunista: busca de forma automática sistemas vulnerables, sin que importe si tu local tiene doce o ciento veinte mesas.
La buena noticia: la mayoría de las medidas siguientes no cuestan dinero, solo diez minutos de atención. La ciberseguridad en la hostelería rara vez pasa por contratar un costoso servicio de IT; se trata sobre todo de tapar los agujeros más evidentes.
9 pasos hacia un restaurante ciberseguro
1. Separa el wifi de tus clientes de la red de tu TPV
El error más habitual —y más subestimado— es usar un único router para todo: el TPV, el ordenador de administración con la contabilidad y el wifi que ofreces gratis a tus clientes. En cuanto un cliente (o alguien a quien se le pasó la contraseña de un cliente) se conecta a esa red, en el peor de los casos podría espiar el tráfico hacia tu sistema TPV.
- Crea dos redes separadas: una para clientes y otra para el TPV y la trastienda, cada una con su propia contraseña. La mayoría de los routers de gama media lo permiten mediante un "SSID de invitados" o una VLAN, a menudo con un solo ajuste.
- Cambia la contraseña del wifi de invitados con regularidad, por ejemplo cada mes, para que una contraseña antigua y muy difundida no siga circulando.
- Conecta tu sistema de pedidos con QR a la red de invitados, nunca a la de tu TPV, aunque parezca más práctico.
Este único cambio —dos redes en lugar de una— cierra la vía más utilizada por la que un dispositivo infectado de un cliente podría llegar hasta tu caja.
2. Blinda tu propio sistema TPV
A la hora de elegir un sistema TPV normalmente te fijas en las integraciones y las comisiones, pero es igual de importante lo bien protegido que está y lo bien que se mantiene. Algunas reglas prácticas:
- Instala las actualizaciones de software de tu TPV en cuanto estén disponibles; el software de caja desactualizado es el objetivo más fácil que existe.
- Usa el ordenador del TPV exclusivamente para el TPV, no para navegar, mirar el correo o poner música.
- Desconfía de cualquier "técnico" inesperado. El grupo de hackers brasileño Prilex se hizo tristemente famoso en todo el mundo con malware de TPV capaz incluso de clonar transacciones con chip y PIN: la infección suele empezar con una llamada de un supuesto técnico que insiste en "actualizar" el software de la caja y pide instalar un programa como AnyDesk para acceder en remoto. Ante la duda, llama siempre al número oficial de tu propio proveedor, nunca al que te facilite quien llama.
3. Elige un proveedor de pagos conforme a PCI-DSS
Cualquier entidad que procese pagos con tarjeta debe cumplir PCI-DSS, el estándar de seguridad de las redes de tarjetas. La consecuencia práctica para ti: nunca dejes que los datos de tarjeta pasen por tus propios sistemas ni los almacenes si no es estrictamente necesario.
- Elige un datáfono o proveedor que tokenice los datos de tarjeta: tu TPV nunca ve el número real, solo un código sustitutivo sin valor.
- No guardes nunca números de tarjeta en hojas de cálculo, correos o notas "por si acaso".
- Si no eres conforme con PCI-DSS y aun así se produce una filtración, puedes ser responsable de las transacciones fraudulentas: el coste del incumplimiento casi siempre supera al de un proveedor conforme.
Las cifras que marcan la diferencia
Por qué la rapidez y la higiene básica pesan más que un contrato de seguridad caro.
4. Contraseñas fuertes y verificación en dos pasos, en todas partes
Una única contraseña compartida y desfasada ("caja1234") que ha conocido cada empleado a lo largo de los años es quizás el mayor riesgo invisible de la hostelería. Para cuando te des cuenta, diez antiguos empleados seguirán conociéndola.
- Activa la verificación en dos pasos donde sea posible: en tu cuenta del TPV, tu sistema de reservas, tu perfil de empresa de Google y tu correo profesional. Suele ser gratis y solo añade un clic al iniciar sesión.
- Da a cada empleado su propio acceso en lugar de una cuenta compartida: así sabrás también quién hizo qué si algo sale mal.
- Usa un gestor de contraseñas para las cuentas del negocio en lugar de reutilizar la misma contraseña en todas partes.
5. Aprende a detectar el phishing y el fraude de facturas
La mayoría de las brechas no empiezan con código sofisticado, sino con un correo o una llamada que abusan de la confianza. Inclúyelo de forma explícita en la formación de tu equipo:
- Fraude de facturas: un "proveedor" escribe diciendo que ha cambiado su número de cuenta. Confirma siempre cualquier cambio de datos bancarios por teléfono, a un número que ya conocías de antes, nunca al que aparece en el correo.
- Fraude del CEO: un correo urgente "del propietario" que pide comprar tarjetas regalo o hacer una transferencia rápida. Acuerda con tu equipo que este tipo de peticiones siempre se confirman de viva voz.
- Correos falsos de "tu proveedor de TPV" o de "Google" que piden iniciar sesión a través de un enlace. Ante la duda, entra siempre directamente en la web oficial en lugar de hacer clic en el enlace.
6. Limita el acceso según el rol — y revócalo de inmediato
No todos los empleados necesitan permisos de administrador en tu TPV, tu sistema de reservas o tus redes sociales. Trabaja por roles: un camarero puede crear comandas, pero no necesita exportar informes ni cambiar configuraciones.
- Da permisos completos de administrador solo al propietario y a un número reducido de responsables.
- Revoca el acceso de inmediato en cuanto alguien deja el puesto: es el paso más olvidado de toda esta lista, y uno de los más peligrosos. Inclúyelo como estándar en tu checklist de salida, junto al resto de trámites de gestión de personal.
- Revisa al menos dos veces al año quién sigue teniendo acceso a qué, y elimina lo que ya no haga falta.
7. Examina a tus proveedores: su debilidad se convierte en tu filtración
Tu sistema TPV, tu plataforma de pedidos online y tus herramientas de automatización suelen funcionar con software de un tercero. Si ese tercero sufre un ataque, tú te quedas despierto por la noche igualmente. Desde octubre de 2024, la directiva NIS2 de la UE eleva las exigencias de seguridad para empresas medianas y grandes de numerosos sectores; los restaurantes individuales suelen quedar fuera (el umbral está en 50 empleados o 10 millones de euros de facturación), pero tu proveedor de TPV, de reservas y de pagos suele estar justo en el centro de esa exigencia. Pregunta por eso a cada nuevo proveedor:
- ¿Cumplís la NIS2 o la ISO 27001, o podéis al menos demostrar cómo protegéis los datos de vuestros clientes?
- ¿Con qué rapidez avisáis a vuestros clientes ante un incidente en vuestro extremo?
- ¿Dónde y durante cuánto tiempo se conservan nuestros datos, y quién tiene acceso a ellos?
Esto conecta directamente con la mirada crítica que ya deberías aplicar a cómo tratas los datos de tus clientes bajo el RGPD: la responsabilidad sobre los datos de tus clientes no termina en el proveedor que los almacena técnicamente.
8. Haz copias de seguridad y prueba tu plan de recuperación
El ransomware casi nunca acapara titulares en la hostelería como sí ocurre con los hospitales, pero su efecto es igual de disruptivo: un TPV bloqueado un viernes noche de máxima afluencia se traduce de inmediato en pérdida de ingresos y clientes frustrados en la puerta.
- Haz copias de seguridad periódicas de los datos de reservas, de clientes y de configuración, de forma automática, no manual "cuando te acuerdes".
- Guarda al menos una copia desconectada de tu red principal, para que un ransomware que cifre tus sistemas no se lleve también tu copia de seguridad.
- Comprueba al menos una vez al año que realmente puedes restaurar una copia de seguridad: una copia que nunca has probado a recuperar es una suposición, no una garantía.
9. Conoce tu obligación de notificación y valora un seguro
Si tratas datos personales de clientes o empleados —y eso lo hace prácticamente cualquier restaurante, desde las reservas hasta los expedientes de personal— el RGPD se aplica sin excepción, sea cual sea tu tamaño. Ante una filtración grave:
- Debes notificarlo en un plazo de 72 horas desde su descubrimiento a la autoridad de protección de datos.
- Debes avisar a los clientes o empleados afectados si el riesgo para ellos es alto.
- Las sanciones pueden llegar hasta el 4% de la facturación anual mundial; en la práctica, los pequeños negocios de hostelería suelen recibir sanciones mucho más suaves, pero la obligación de notificar en sí no admite excepciones.
Un seguro de ciberriesgos asequible suele cubrir no solo el daño directo, sino también la investigación forense y el asesoramiento legal tras un incidente: pregunta por él a la misma aseguradora con la que ya tienes tus otras pólizas. Documenta además en una sola hoja a quién debes llamar (proveedor, aseguradora, soporte informático si lo tienes) en cuanto algo falle: en plena madrugada no querrás tener que buscar un número de teléfono.
Errores habituales que socavan la ciberseguridad
- Tener el TPV, la oficina y el wifi de clientes en exactamente la misma red.
- Usar una única contraseña compartida que nunca cambia, ni siquiera tras la salida de empleados.
- Dar acceso remoto sin más a un "técnico" no anunciado.
- Anotar o guardar manualmente los datos de tarjeta de los clientes "por si acaso".
- Revocar el acceso de empleados que ya se han ido solo cuando alguien lo nota por casualidad.
- No comprobar nunca si una copia de seguridad realmente se puede restaurar.
Conclusión: la seguridad como higiene básica, no como lujo
La ciberseguridad en la hostelería rara vez exige una gran inversión. Es una serie de pequeños hábitos estructurales: una red de invitados separada, verificación en dos pasos, una mirada crítica ante cualquier llamada inesperada y un acceso que revocas de inmediato en cuanto alguien se marcha. Empieza esta misma semana con los pasos gratuitos —separar las redes, activar la verificación en dos pasos, informar a tu equipo sobre el phishing— y planifica el resto para tu próxima conversación con proveedores.
El precio de esas pocas horas de atención es insignificante comparado con lo que cuesta una filtración de datos en reputación, sanciones y la confianza de unos clientes que simplemente esperaban que sus datos estuvieran seguros contigo.