El sector hotelero pierde el control de los datos de 24 millones de turistas

Más de 24 millones de registros con datos personales de clientes de hoteles quedaron expuestos debido a la falta de una contraseña en el servidor. Expertos de Cybernews descubrieron un servidor Elasticsearch y una interfaz Kibana sin protección que contenían información confidencial de los huéspedes.

Entre los datos filtrados se incluyen nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, códigos de país e idioma, información sobre visitas a hoteles, detalles de estadías (hora de check-in, número de noches, monto pagado, número de huéspedes), puntos de fidelidad y también identificadores de propiedades inmobiliarias.

Ejemplo de los datos filtrados (Cybernews)

Aunque la empresa responsable de la filtración no ha sido identificada con certeza, existen serias sospechas de que los datos podrían pertenecer a Honotel Group, una empresa francesa que gestiona activos hoteleros. Este grupo posee 135 hoteles en ocho países de Europa, con un valor de activos estimado en €1.200 millones.

En la base de datos filtrada se menciona «SITE HONOTEL», así como integraciones con Booking.com, lo que podría indicar que la información pertenece al sistema de gestión de reservas de Honotel.

Los expertos de Cybernews contactaron a la empresa para obtener más detalles, pero no recibieron respuesta. La filtración fue detectada el 4 de octubre de 2024, divulgada el 5 de octubre y el acceso a la base de datos fue cerrado el 7 de octubre de 2024.

Esta filtración genera riesgos significativos para la seguridad y privacidad de los clientes de hoteles. La combinación de información personal con datos de reservas podría ser un tesoro para los delincuentes, quienes podrían utilizarla para ataques de phishing dirigidos, fraudes y robo de identidad. Además, incidentes de este tipo pueden acarrear consecuencias legales y dañar la reputación de la empresa.

De acuerdo con las normativas del RGPD, las empresas están obligadas a notificar violaciones de datos en un plazo de 72 horas. No cumplir con estas reglas puede resultar en multas del 2% al 4% de la facturación anual global.

Para prevenir filtraciones similares en el futuro, los expertos recomiendan:

• Garantizar la protección adecuada de los servidores mediante contraseñas y controles de acceso;
• Notificar a los clientes afectados para que tomen medidas de precaución;
• Realizar auditorías de seguridad para identificar vulnerabilidades;
• Implementar monitoreo de seguridad constante y protocolos de respuesta a incidentes;
• Capacitar a los empleados en las mejores prácticas de protección de datos.