Un mensaje de Booking le robó 2.400€ a un cliente del hotel. Y el hotel tuvo que notificarlo a la AEPD.

Tu cliente acaba de recibir un mensaje desde el chat de Booking. Incluye su nombre, el número de reserva correcto y una solicitud urgente: «valida el pago en las próximas 2 horas o tu reserva se cancelará». El enlace parece oficial. La página de pago, también. Pero es una estafa. Y el fraude lleva tu nombre.

La suplantación en plataformas de reservas se ha convertido en el fraude más difícil de detectar del sector hostelero: usa datos reales, canales oficiales y una urgencia artificial que presiona al cliente a actuar sin pensar.

Este fraude no es un phishing genérico: usan los datos reales de tu cliente

Los atacantes acceden a las credenciales del hotel en la plataforma —bien por fuga de datos previa, bien por robo directo— y desde ahí envían mensajes a través del canal oficial de Booking o Expedia. El cliente no recibe un email sospechoso: recibe una notificación dentro de la app, en el hilo de su reserva, con todos sus datos correctos.

La tasa de éxito supera ampliamente a la del phishing convencional. El resultado: el huésped paga. Cuando detecta el fraude, llama al hotel. Y el hotel carga con la gestión, las reclamaciones y el daño reputacional.

Cuatro vectores de ataque documentados

Detrás de estos fraudes hay grupos organizados, no oportunistas sueltos. Los patrones más frecuentes de brecha de seguridad en hoteles son:

Accesos no autorizados a los sistemas del hotel o de la plataforma de reservas.
Uso del chat interno para enviar el fraude desde un canal aparentemente oficial.
Páginas de pago clonadas que replican con gran precisión el entorno real.
Hoteles fantasma: alojamientos falsos que desaparecen tras recibir el pago.

Obligación legal inmediata: 72 horas para notificar a la AEPD

Si los atacantes accedieron a datos de reservas —nombre del huésped, email, fechas, importe—, tu hotel tiene una brecha de seguridad. El Reglamento (UE) 2016/679 (RGPD), en su artículo 33, establece la obligación de notificar a la AEPD en un plazo máximo de 72 horas desde que se tenga conocimiento. En España, esa autoridad es la Agencia Española de Protección de Datos.

La AEPD ha publicado guías específicas sobre la gestión de brechas de seguridad que todo responsable del tratamiento debería tener incorporadas a sus protocolos internos. Notificar fuera de plazo, hacerlo de forma incompleta o no notificar cuando procede puede derivar en un procedimiento sancionador independiente al incidente original.

⚠ Resolución de referencia: La AEPD sancionó a una empresa hotelera (PS/00303/2022) por notificación tardía de brecha y medidas de seguridad insuficientes. El incumplimiento del plazo de 72 h genera un expediente independiente al propio incidente.

📋 Referencias normativas — Notificación de brechas

RGPD — Artículo 33: Notificación de brechas a la autoridad de control (plazo 72 h)
RGPD — Artículo 34: Comunicación de brechas al interesado
AEPD — Guía para la gestión y notificación de brechas de seguridad
AEPD — Resolución PS/00303/2022: Sanción a empresa hotelera por notificación tardía
CEPD — Directrices 01/2021 sobre ejemplos de notificación de brechas
CEPD — Directrices 9/2022 sobre notificación de brechas en virtud del RGPD

El artículo 28 RGPD y los encargados del tratamiento

Las plataformas de reservas como Booking.com o Expedia actúan como encargados del tratamiento de datos de huéspedes por cuenta del hotel. El artículo 28 del RGPD establece que esta relación debe formalizarse mediante un contrato que incluya las instrucciones del responsable, las medidas de seguridad aplicadas y el régimen de auditoría.

Este contrato no es una formalidad: es la herramienta jurídica que permite al hotel exigir cuentas al encargado si se produce un incidente. Muchos hoteles firman los términos de servicio de las plataformas sin revisar si incluyen todas las garantías exigibles como contrato de encargo del artículo 28.

📋 Referencias normativas — Encargados del tratamiento

RGPD — Artículo 28: Requisitos del contrato de encargo del tratamiento
CEPD — Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento
AEPD — Guía práctica de análisis de riesgos para el tratamiento de datos personales

5 medidas que puedes activar esta semana

No todas requieren presupuesto. Sí requieren decisión:

Activar la autenticación en dos factores en todas las plataformas de gestión y en el correo corporativo.
Limitar y revisar periódicamente los accesos del personal a las herramientas de reservas.
Formar al equipo para identificar intentos de fraude y saber cómo actuar ante un incidente.
Informar a los clientes de que cualquier pago debe realizarse siempre por canales oficiales del establecimiento.
Disponer de un protocolo de respuesta ante incidentes: bloquear credenciales, documentar el incidente y valorar la notificación a la AEPD en el plazo de 72 horas.

Preguntas frecuentes sobre fraude en plataformas de reservas

¿Qué es la suplantación en plataformas de reservas y cómo funciona?

Los atacantes obtienen las credenciales del hotel en plataformas como Booking o Expedia y las usan para enviar mensajes fraudulentos directamente desde el chat oficial de la reserva. El cliente recibe una notificación con sus datos correctos (nombre, fechas, importe) que parece totalmente legítima, lo que hace que la tasa de éxito sea muy superior a la del phishing convencional.

¿Cuándo está obligado mi hotel a notificar una brecha a la AEPD?

Cuando se produce un acceso no autorizado a datos personales de huéspedes —nombre, email, fechas de estancia, importe de la reserva—, existe una brecha de seguridad en el sentido del artículo 33 del RGPD. La notificación a la AEPD es obligatoria en el plazo máximo de 72 horas desde que el hotel tiene conocimiento del incidente, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas.

¿Qué pasa si el hotel notifica fuera del plazo de 72 horas?

La notificación tardía, incompleta o la ausencia de notificación puede derivar en un procedimiento sancionador independiente al incidente original. La AEPD ha sancionado a hoteles específicamente por este motivo, como recoge la Resolución PS/00303/2022. El incumplimiento del plazo tiene consecuencias propias al margen de la gravedad del incidente.

¿Qué obliga el artículo 28 RGPD en relación con Booking o Expedia?

Las plataformas de reservas actúan como encargados del tratamiento de los datos de tus huéspedes. El artículo 28 del RGPD exige que esta relación esté formalizada en un contrato que incluya las instrucciones del hotel, las medidas de seguridad del encargado y el régimen de auditoría. Muchos hoteles firman los términos de servicio sin verificar si cumplen estos requisitos mínimos.

¿Cómo puede ayudar Datagestión a mi hotel?

En Datagestión trabajamos con hoteles y alojamientos en tres dimensiones: asesoramiento legal especializado en protección de datos para el sector hostelero, formación online bonificable por FUNDAE para que el equipo sepa cómo actuar, y soluciones tecnológicas propias para la gestión de incidentes y cumplimiento normativo. Podemos hacer un diagnóstico de tu situación actual sin tecnicismos.

La ciberseguridad en hostelería no es solo una cuestión técnica: es una obligación legal con plazos y consecuencias concretas. Los fraudes en plataformas de reservas son reales, están documentados y seguirán creciendo mientras los hoteles no tengan protocolos claros, equipos formados y contratos revisados con las plataformas. Actuar antes del incidente es siempre menos costoso que gestionar sus consecuencias.

¿Sabes exactamente en qué punto está tu hotel?

En Datagestión trabajamos con hoteles y alojamientos para que la formación en protección de datos para hostelería y el cumplimiento normativo sean una ventaja competitiva, no un problema. Podemos hacer ese diagnóstico contigo: qué tienes cubierto y qué no. Sin tecnicismos, sin complicar tu operativa.

Contacta con nuestro equipo