Filtración de datos de huéspedes de hotel expone a 5 millones de personas

Datos de huéspedes de hotel robados y filtrados en Telegram en tiempo real

Investigadores de seguridad de Cybernews han descubierto una operación de robo de datos a gran escala dirigida a huéspedes de hoteles en varios países. El ataque comprometió más de 500 cuentas en plataformas de gestión hotelera, exponiendo la información personal de casi 5 millones de viajeros en todo el mundo. Lo que hace que esta filtración sea especialmente alarmante no es solo su escala, sino el método de distribución: los datos robados estaban siendo filtrados en tiempo real a través de canales de Telegram mientras simultáneamente se almacenaban en un servidor desprotegido.

Las plataformas afectadas incluyen Chekin, con sede en España, y Gastrodat, con sede en Austria, ambas utilizadas por hoteles y administradores de propiedades para gestionar los registros de entrada de huéspedes y datos administrativos. Los hackers emplearon scripts automatizados para recopilar sistemáticamente nombres de huéspedes, direcciones de correo electrónico, números de teléfono y datos de documentos de identidad oficiales de las cuentas comprometidas.

Cómo funcionó el ataque

La operación se basó en el compromiso de credenciales en lugar de una única brecha catastrófica en una plataforma. Al obtener acceso a más de 500 cuentas individuales de gestión de propiedades, los atacantes pudieron extraer datos de huéspedes de cada una de ellas mediante herramientas automatizadas. Este tipo de ataque se denomina en ocasiones credential stuffing o apropiación de cuentas, donde se utilizan credenciales de inicio de sesión robadas o débiles para acceder a sistemas legítimos.

Una vez dentro, los scripts recopilaban todos los datos personales que contenían las cuentas, incluido el tipo de información que los huéspedes deben proporcionar al registrarse en un hotel: nombres legales completos, datos de contacto y documentos de identificación. Esa combinación de datos resulta especialmente valiosa para los delincuentes, ya que puede utilizarse para el robo de identidad, campañas de phishing, intercambio de SIM y otras formas de fraude.

La decisión de distribuir los datos robados a través de Telegram, en lugar de venderlos en los mercados tradicionales de la dark web, refleja un cambio más amplio en la forma en que operan los ciberdelincuentes. Telegram se ha convertido progresivamente en un canal de distribución de datos filtrados debido a su facilidad de uso y a una moderación de contenidos relativamente permisiva.

Qué significa esto para usted

Si en algún momento se ha alojado en un hotel que utiliza Chekin o Gastrodat para la gestión de huéspedes, es posible que su información personal forme parte de este conjunto de datos. Aunque no se vea directamente afectado, este incidente ilustra una vulnerabilidad más amplia a la que se enfrentan los viajeros: cuando se registra en un hotel, entrega datos personales sensibles con muy poca visibilidad sobre cómo se almacenan, quién puede acceder a ellos o con qué nivel de seguridad se gestionan esos sistemas.

Los datos expuestos van más allá de una simple combinación de correo electrónico y contraseña. Los datos de un documento de identidad oficial combinados con el nombre completo, el número de teléfono y la dirección de correo electrónico ofrecen a los actores maliciosos suficiente información para suplantar su identidad, abrir cuentas a su nombre o elaborar mensajes de phishing altamente convincentes diseñados específicamente para usted.

Los hoteles y las plataformas de gestión de propiedades son objetivos atractivos precisamente porque recopilan datos personales detallados de un gran número de personas, con frecuencia con una infraestructura de seguridad menos rigurosa que la de las instituciones financieras o las grandes empresas tecnológicas.

Medidas que puede tomar para reducir su exposición

No siempre puede controlar lo que ocurre con sus datos una vez que los entrega a una empresa, pero sí puede tomar medidas para limitar los daños si algo sale mal.

Supervise sus cuentas e identidad. Si viaja con frecuencia, considere la posibilidad de utilizar un servicio de monitorización de identidad que le alerte cuando su información personal aparezca en filtraciones de datos conocidas o en la web abierta.

Utilice direcciones de correo electrónico únicas para las reservas de viajes. Los servicios que permiten crear direcciones de correo electrónico alternativas garantizan que, aunque una cuenta se vea comprometida, la exposición quede contenida.

Sea escéptico ante los contactos no solicitados. Si recibe un correo electrónico, mensaje de texto o llamada telefónica que hace referencia a una estancia reciente en un hotel, trátelo con cautela. Los atacantes utilizan detalles como este para hacer que los intentos de phishing resulten más convincentes.

Proteja sus dispositivos y conexiones cuando viaje. Las redes públicas de hoteles y aeropuertos son puntos de entrada habituales para la interceptación de datos. Utilizar una VPN al conectarse a una red WiFi pública cifra su tráfico y reduce el riesgo de que su actividad sea monitorizada o interceptada.

Revise qué datos tienen las plataformas sobre usted. En muchos países, especialmente dentro de la Unión Europea, tiene derecho a solicitar qué datos personales posee una empresa y a pedir que sean eliminados. Si se ha alojado en propiedades que utilizan plataformas como Chekin o Gastrodat, puede ponerse en contacto directamente con dichas plataformas.

Esta filtración es un recordatorio de que sus datos personales le acompañan en sus viajes, con frecuencia de maneras que no puede ver ni controlar. Mantenerse informado sobre el destino de su información y adoptar medidas prácticas para limitar su exposición es la defensa más eficaz de la que disponen actualmente los viajeros comunes.