En el verano pasado, una ola de ciberataques golpeó a hoteles en todo el mundo, siendo los usuarios de la plataforma de reservas Booking sus principales objetivos. Los ciberdelincuentes explotaron las débiles medidas de ciberseguridad de muchos establecimientos para acceder a sus sistemas y, a través de ellos, contactaron a los clientes suplantando la identidad del hotel (ya fuera desde la citada plataforma o desde apps de mensajerías).
Uno de los casos más destacados es el del hotel Irala, de la cadena Pillow Hotels, en Bilbao. Este establecimiento sufrió un ataque en enero de 2023, cuando los ciberdelincuentes lograron acceder a su correo corporativo y, así, a los datos de las reservas.
Utilizando esta brecha, enviaron mensajes de WhatsApp a los clientes, haciéndose pasar por la directora del hotel y solicitando la confirmación de la reserva a través de un enlace fraudulento que permitía a los delincuentes hacerse con los datos financieros de sus víctimas.
Según se recoge en la resolución de la AEPD, en el mensaje de WhatsApp recibido por la denunciante figuraba lo siguiente:
«Hola, [nombre de la usuaria]. Reservaste nuestros pisos en Booking.com. Soy el Director del hotel. Estamos deseando conocerte. Pero debes saber que tengo que finalizar tu reserva. Por favor, hágame saber si su reserva esta actualizada para que pueda confirmarla».
Una vez confirmada la reserva, se recibe un segundo mensaje:
«De acuerdo. Por favor, siga este enlace web para confirmar su reserva: [URL maliciosa]. Tu pago se procesará según los términos de tu acuerdo con Booking.com. Tienes una opción de cancelación gratuita. Asi que no te preocupes por la cancelación. Gracias por tu comprensión».
Fue entonces cuando la usuaria remitió un e-mail al hotel comunicando el incidente:
«He recibido un mensaje de WhatsApp haciéndose pasar por ustedes (adjunto capturas de pantalla). Conocían mi nombre completo y mi teléfono, lo que indica que ustedes tienen una brecha de seguridad.
Les ruego que, por una parte, denuncien a quien les suplanta la identidad y, de forma más importante, se aseguren de que tratan los datos de sus clientes de manera segura. Por favor manténganme informada de sus acciones al respecto».
El hotel, por su parte, le respondió que ya eran conocedores de otros casos similares.
La multa al hotel y el papel de Booking en todo esto
Ahora, a las puertas de la nueva temporada vacacional, la Agencia Española de Protección de Datos (AEPD) ha multado al hotel con 7.000 euros por no proteger adecuadamente los datos personales de sus huéspedes.
Esta cifra se reducirá, sin embargo, a 4.200 euros debido a que el hotel asumió la responsabilidad y realizó un pago voluntario. La sanción se debe no sólo a la falta de medidas de seguridad, sino también a la ausencia de notificación del incidente a las autoridades y a los afectados.
La AEPD descubrió, además, que Pillow Hotels había sufrido al menos una segunda brecha de seguridad en agosto de 2023; como la de enero, vino de la mano de la vulneración de las contraseñas de sus sistemas. Aunque el hotel argumentó que este segundo ataque se había originado en Booking y no en sus propios sistemas, la AEPD no pudo confirmar esta versión.
Booking, la plataforma intermediaria, ha explicado cómo se producen estos ataques: los ciberdelincuentes envían enlaces de phishing a los hoteles, que, al hacer clic, descargan malware que permite el acceso a sus sistemas.
Aunque Booking ha negado haber sufrido brechas en sus propios sistemas, reconoce que algunos proveedores de alojamiento han sido víctimas de estos ataques, pero ante esto asegura ofrecer «orientación y formación» a sus partners para prevenir estas estafas.
Vía | AEPD (PDF)
Imagen | Marcos Merino mediante IA
(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();
–
La noticia Este hotel de Bilbao facilitó timos a través de Booking por no proteger bien sus datos. La AEPD lo ha sancionado con 7.000 euros fue publicada originalmente en Genbeta por Marcos Merino .