Phishing en el check-in hotelero: cuando el fraude conoce los datos del huésped

Alerta de phishing y seguridad en reservas hoteleras

Phishing en el check-in hotelero: cuando el fraude conoce los datos del huésped

El sector turístico lleva tiempo en el punto de mira de los ciberdelincuentes. La digitalización ha traído enormes ventajas operativas — check-ins automatizados, motores de reserva eficientes, conectividad a través de APIs — pero también ha ampliado la superficie de exposición. Cada integración nueva, cada proveedor que accede a datos de reserva, es un eslabón más en una cadena que hay que mantener segura en su totalidad.

Hace unas semanas detectamos, junto a Hotetec, una campaña de phishing activa dirigida a huéspedes de establecimientos hoteleros. Lo que hacía especialmente peligrosa esta amenaza era su nivel de personalización: los correos fraudulentos no eran mensajes genéricos fáciles de identificar, sino comunicaciones que incluían datos reales y detallados de la reserva de cada cliente — nombre, fechas, importes — lo que les daba una apariencia completamente legítima. El patrón se detectó en más de un establecimiento, lo que confirmó que no se trataba de un caso aislado sino de una campaña activa y coordinada.

¿De dónde salían los datos?

Cuando ocurre algo así, la primera reacción habitual es mirar hacia el sistema de gestión hotelera o el motor de reservas. En este caso, ambos quedaron descartados tras el análisis técnico: custodiaban los datos correctamente. La investigación señaló al proceso de check-in digital como vector de la filtración, es decir, al servicio intermediario que gestiona el registro previo del huésped antes de su llegada.

Queremos ser claros en este punto: no apuntamos a ningún proveedor concreto. Existen múltiples soluciones de este tipo en el mercado y el objetivo de la alerta que emitimos fue que cada establecimiento revisara la suya, no imputar responsabilidad a ninguna solución específica. Lo importante es entender que cualquier servicio que acceda a datos de reserva forma parte de la cadena de seguridad del hotel, y debe estar a la altura de esa responsabilidad.

La única señal de alerta que identificamos en los correos fraudulentos fueron dos discrepancias concretas respecto a la reserva original: el nombre de la tarifa y el importe de los gastos de cancelación no coincidían con los datos del sistema de gestión. Pequeños detalles que, verificados antes de autorizar cualquier pago o facilitar datos a través de un enlace, pueden evitar un fraude.

Coordinación sectorial: INCIBE y FEHM

Ante el alcance potencial de esta campaña, desde Binaura pusimos en marcha los canales de notificación habituales en este tipo de incidentes. Nos pusimos en contacto con el Instituto Nacional de Ciberseguridad (INCIBE) para notificar el caso y coordinar el seguimiento conjunto, de forma que cualquier nuevo establecimiento afectado pudiera ser atendido dentro del marco de respuesta nacional a incidentes de ciberseguridad.

Paralelamente, trasladamos la alerta a la Federación de Empresarios de Hostelería de Mallorca (FEHM) para su difusión entre los establecimientos asociados. La lógica es sencilla: cuanto antes conoce el sector la existencia de una campaña activa, antes puede protegerse. La información compartida a tiempo vale más que cualquier medida técnica aplicada tarde.

En este mismo sentido, Hotetec — partner tecnológico de referencia en el sector y con quien colaboramos directamente en la detección de esta campaña — ha publicado una reflexión más amplia sobre el estado de la ciberseguridad en el Travel Tech que recomendamos leer: Ciberseguridad en el Travel Tech: hablamos claro, pero hablemos.

La seguridad de un hotel depende de toda su cadena de proveedores

Este caso ilustra algo que repetimos habitualmente en nuestro trabajo con clientes del sector: la ciberseguridad de un establecimiento no depende únicamente de sus propios sistemas. Depende de cada proveedor que se conecta a ellos, de cada integración que accede a datos sensibles y de cada servicio externo que forma parte del proceso operativo.

Los atacantes lo saben. Ya no buscan necesariamente la puerta principal de una empresa bien protegida: buscan el eslabón más débil de la cadena. Y en un ecosistema tan interconectado como el hotelero — donde un solo establecimiento puede trabajar con decenas de proveedores tecnológicos simultáneamente — ese eslabón puede estar en cualquier punto.

En los establecimientos investigados, los controles sobre el proceso de check-in se reforzaron y no se han vuelto a registrar incidencias desde entonces. Binaura continuará monitorizando esta campaña y mantendrá informado al sector de cualquier novedad relevante.

¿Qué puede hacer su establecimiento?

Si utiliza un servicio de check-in digital o intermediado, le recomendamos revisar ese proceso con su proveedor y confirmar que no expone datos de reserva a terceros no autorizados. Es también recomendable informar a los huéspedes, especialmente antes de su llegada, de que el hotel nunca solicitará pagos ni confirmación de datos de tarjeta por correo electrónico fuera de sus canales oficiales.

Ante la detección de un correo sospechoso, la mejor defensa sigue siendo la más sencilla: verificar los datos contra la reserva original antes de actuar, conservar el correo fraudulento y notificarlo. Y si ha existido acceso indebido a datos personales, recuerde que el RGPD exige notificación a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

Para cualquier consulta o notificación de casos similares, puede contactar con nosotros en ciso@binaura.es.