Protección de Datos sanciona a un hotel por no proteger información personal de sus clientes

Mensaje de WhatsApp

Suplantación del director del hotel

Acceso al correo corporativo

Segunda brecha de seguridad en agosto

Booking niega haber sufrido ciberataques

Decenas de personas afectadas

Negligencia del hotel

4.200 euros de multa

Booking

La ola de ciberataques sufrida los últimos días ha puesto en tela de juicio la seguridad de las empresas. Grandes marcas como Iberdrola, Telefónica y Banco Santander, además de organismo públicos como la Dirección General de Tráfico (DGT) han visto cómo los delincuentes entraban en sus bases de datos y robaban información de millones de ciudadanos.

Las empresas tienen la obligación de custodiar la información personal a la que los clientes les dan acceso, como ha reiterado la Agencia Española de Protección de Datos (AEPD), incluidos los hoteles.

El organismo ha sancionado a Pillow Hotels, una pyme con 13 empleados y un volumen de ventas inferior al millón de euros, con 4.200 euros por no cuidar debidamente datos tan importantes como el DNI o los números de teléfono de las personas que reservan sus habitaciones, motivo por el cual se convirtió en la diana de unos ciberdelincuentes que sustrajeron información de decenas de clientes.

Mensaje de WhatsApp

En una resolución firmada por la directora de la AEPD, Mar España, una de las clientas afectadas ha reclamado al organismo estatal que sancione al hotel e investigue los hechos. Ha afirmado que en enero de 2023, realizó una reserva a través de Booking.com en “Irala, by Pilow”, un alojamiento en Bilbao de la mencionada cadena hotelera. Había solicitado la estancia para un mes después y el mismo día que alquiló el alojamiento ya recibió un correo de confirmación.

No obstante, ha señalado que unos días antes del viaje recibió un mensaje de WhatsApp en el que una persona que decía ser la directora del hotel le pedía la confirmación de la reserva, facilitándole un enlace fraudulento para que introdujera los datos de su tarjeta.

Suplantación del director del hotel

“Hola, me llamo XXX. Reservaste nuestros pisos en Booking.com. Soy el Director de Pillow Hotels, estamos deseando conocerte, pero debes saber que tengo que finalizar tu reserva. Por favor, hágame saber si su reserva esta actualizada para que pueda confirmarla”, reza en el primer mensaje.

Al confirmar la reserva, los atacantes enviaron otro: “De acuerdo. Por favor, siga este enlace web para confirmar su reserva. Tu pago se procesará según los términos de tu acuerdo con Booking.com. Tienes una opción de cancelación gratuita, así que no te preocupes por la cancelación. Gracias por tu comprensión”.

Cuando contactó con el alojamiento reservado para confirmar la estafa y la suplantación de identidad, el personal le comunicó que “sabían que se había producido la filtración y estaban investigando el origen”.

Acceso al correo corporativo

Según ha podido constatar Booking, que ha colaborado con la AEPD para verificar los hechos, el hotel sufrió “un primer intento malicioso” el 20 de enero de 2023.

Los ciberdelincuentes utilizaron la táctica de “phishing”, el envío de correos electrónicos fraudulentos en los que los delincuentes se hacen pasar por una empresa o institución para engañar a las personas y lograr datos como el DNI o la cuenta bancaria. Desde el alojamiento han indicado que, probablemente (no se ha podido determinar), un recepcionista abrió un enlace fraudulento que habría dado acceso a los hackers a su correo corporativo.

El hotel procedió a cambiar las contraseñas de los correos electrónicos. Sin embargo, a principios de febrero volvieron a sufrir otro intento de fraude y suplantación.

Segunda brecha de seguridad en agosto

Booking ha confirmado que en marzo la cuenta del alojamiento en su portal se encontraba todavía comprometida por motivos de seguridad y más reclamaciones por parte de otros clientes probaron que el problema tampoco se había solucionado en agosto, momento en el que tuvo lugar la segunda brecha.

Los trabajadores del hotel intentaron cambiar las claves de su cuenta en Booking, pero la página web los echaba y les pedía restablecer de nuevo una contraseña. La empresa atacada aseguró que desconocía si aquello ocurría “por Booking o porque el hacker quería retomar el control”. “Estuvimos así varias horas, y no fueron menos de 7 u 8 veces las que cambié la contraseña”, añadió un empleado del hotel.

Booking niega haber sufrido ciberataques

El portal de reservas ha explicado que una vez el usuario realiza una reserva, transfiere los datos de contacto y de pago, entre otros, al proveedor del alojamiento.

En la resolución, Booking ha negado que “ninguno de sus sistemas se haya visto comprometido” y ha trasladado la responsabilidad de los incidentes a los alojamientos, pues ha asegurado que “son con frecuencia víctimas de ataques de ‘phishing’”.

Decenas de personas afectadas

La Agencia de Protección de Datos ha afirmado que el primer ataque de ‘phishing’ afectó a 24 personas, entre las que se encuentra la clienta que ha reclamado la sanción.

Y respecto al segundo producido el mes de agosto, el hotel no ha podido cifrar una cantidad exacta, pero ha asegurado que son “decenas”.

Los datos que podrían haber robado, según consta en la resolución, son: Nombre y apellidos, fecha de la estancia, tipo de habitación, importe, teléfono, DNI…

Negligencia del hotel

La AEPD ha sancionado a Pillow Hotels por no garantizar debidamente la confidencialidad e integridad de los datos de carácter personal “como consecuencia de la quiebra de seguridad producida”. Ha penalizado al alojamiento por ser una entidad que se encuentra vinculada con el tratamiento de datos tanto de clientes como de terceros.

Además, aunque se desconoce cuál ha podido ser el origen de la brecha, la empresa ha reconocido que el origen que motivó el mensaje dirigido a la clientes pudo estar ocasionado por una actuación negligente por parte del hotel al haber caído en la estafa por ‘phishing’.

4.200 euros de multa

Por todo ello, el organismo estatal ha propuesto una sanción de 3.000 euros, además de otra de 2.000 euros por la falta de medidas de seguridad que el hotel había implantando. A juicio de la AEPD, estas “no eran las pertinentes ni adecuadas para garantizar la seguridad de los datos personales” en el momento de producirse las brechas.

Finalmente, la última infracción ha sido por no haber notificado a la autoridad de control los incidentes, incrementando el importe total de la multa a 7.000 euros.

Pillow Hotels, al haber realizado el pago voluntario, ha podido obtener dos reducciones en la multa y el importe se ha quedado en 4.200 euros.

Agencia Española de Protección de Datos.

 

Deja un comentario