Cinco casos reales de ciberataques a empresas turísticas ante la temporada 2026
Diari de Girona. El CEO de 3digits, Xavi Pérez, analiza desde fraudes por suplantación hasta secuestros de datos por ransomware en cadenas hoteleras y rent a car
Con el inicio de la temporada turística 2026 y la reapertura de numerosos hoteles en España para Semana Santa, los establecimientos vuelven a abrir de par en par sus puertas para recibir clientes. Sin embargo, este proceso de apertura conlleva el riesgo de abrir también brechas de seguridad críticas, según advierte Xavi Pérez, CEO de 3digits. La compañía, especializada en tecnologías y ciberseguridad con sede en el ParcBit de Palma de Mallorca, ha analizado para Hosteltur cinco casos reales de ataques frecuentes que afectan tanto a empresas turísticas como a sus clientes.
1. El fraude haciéndose pasar por Booking
Según explica Xavi Pérez, uno de los casos más controvertidos afectó a Booking.com. Los ciberdelincuentes lograron sustraer datos de reservas reales de clientes y los atacantes utilizaron estos detalles para dirigirse directamente a los turistas, solicitándoles prepagos parciales o totales para conservar sus habitaciones.
“Los clientes-turistas confiaron al ver los detalles reales de sus estancias”, afirma Pérez. Esta crisis obligó a la activación de ciberseguros, la intervención de peritos para análisis forenses y la implementación de niveles superiores de seguridad obligatorios tras una fase inicial de “negación de responsabilidad” por parte de la plataforma, indica este experto.
Respecto a este tema, Booking.com sostiene que su infraestructura interna no ha sido vulnerada y que los atacantes han logrado robar datos masivos de los hoteles enviándoles correos de phishing o instalando malware en los ordenadores de los establecimientos. Luego, el usuario rellena sus datos en el enlace falso que le envían los hackers.
2. Vulnerabilidad en la gestión de reservas: channel manager y email
Otro caso detectado por 3digits: los clientes de un hotel reciben peticiones de prepago de reservas. “El hotel se da cuenta de que esta situación está ocurriendo tanto con reservas provenientes de la propia web del cliente como de Booking”, explica Xavi Pérez. La brecha de seguridad podía tener su origen en varios puntos, incluyendo el channel manager que integra las reservas de Booking y de la web de venta directa del hotel, o de los correos electrónicos. Fue necesario cambiar todas las contraseñas de las cuentas de correo electrónico afectadas, analizar la seguridad de los sistemas del hotel, dar soporte al ciberseguro y comunicar al channel manager la situación para que hicieran un barrido de sus sistemas.
3. Ataque a través de terceros: el eslabón del diseño web
La seguridad de las agencias de servicios externos también supone un riesgo. Pérez relata cómo un hotel vio su web modificada con información fraudulenta que desviaba el tráfico a sitios de pago controlados por delincuentes. La investigación reveló que la empresa de diseño web había visto comprometido su repositorio de usuarios y contraseñas de administración. Con estas credenciales, los atacantes accedieron al sitio del hotel y a toda su información. La solución requirió la revisión del servidor y la recuperación de una copia de seguridad del día anterior.
4. Ataques de fuerza masiva en un rent a car
El sector del alquiler de vehículos tampoco es ajeno a estas amenazas. Un cliente de 3digits, una empresa de rent a car en Baleares, sufrió la caída de sus servidores internos debido a un ataque de fuerza masiva contra su motor de reservas. Según explica Pérez, el ataque buscaba encontrar una brecha de seguridad por la que penetrar. Aprovechando que aún era temporada baja, se decidió parar el servicio web de reservas para blindar el sistema con nuevas actualizaciones de seguridad.
5. Intento de ransomware en una cadena hotelera
El caso más crítico afectó a una de las cinco principales cadenas hoteleras de Baleares en octubre de 2023. Pese a recibir una alerta de vulnerabilidad de un fabricante de base de datos el mismo día, los ciberdelincuentes descubrieron el servidor antes de que pudiera ser actualizado.
“Aprovecharon la vulnerabilidad, entraron en el servidor y encriptaron toda la base de datos”, detalla Pérez. Aunque los atacantes exigieron un rescate, la cadena logró restablecer el servicio desplegando un nuevo servidor ya actualizado y recuperando la información mediante copias de seguridad.
Como conclusión, Xavi Pérez advierte que en todos estos eventos, es vital disponer de medidas preventivas adecuadas y, especialmente, de copias de seguridad robustas, para evitar graves pérdidas económicas y de información para las compañías afectadas.