Cuando una OTA filtra datos personales. Tu hotel también responde.

Booking.com - la OTA más grande del mundo, con más de 28 millones de alojamientos listados - confirmó una brecha de seguridad en la que terceros no autorizados accedieron a información de clientes. Los datos comprometidos incluyen nombres, correos electrónicos, direcciones, números de teléfono y detalles de las reservas. La empresa aclaró que la información financiera no fue afectada.

Para un hotel, esa aclaración da menos tranquilidad de la que parece. En hotelería, la información de contacto y los detalles de una reserva son exactamente lo que un estafador necesita para montar una comunicación que parezca venir del hotel y que logre que el huésped entregue datos de tarjeta por su cuenta. El incidente no terminó en Booking.com. Aterrizó en la operación diaria de miles de hoteles que dependen de esa distribución.

POR QUÉ UNA BRECHA EN UNA OTA ES UN PROBLEMA DEL HOTEL

Cuando una OTA filtra datos, el eslabón visible para el huésped es el hotel. El viajero reservó en Booking.com, pero su estadía es en "Hotel Suramérica". Si recibe un correo fraudulento días antes del check-in pidiéndole "confirmar su reserva" o "validar su tarjeta por una nueva política", la asociación mental es simple: esto es del hotel.

El hotelero, que no fue parte del incidente ni tuvo manera de prevenirlo, termina absorbiendo el costo reputacional. Y si el huésped cayó en la estafa, también el costo emocional de gestionar la frustración ya en el lobby.

El caso no es aislado. Marriott y Starwood sufrieron brechas que impactaron a 344 millones de clientes entre 2014 y 2020. En 2018, un fraude de phishing asociado a Booking.com afectó a más de 4.000 clientes y resultó en una multa de €475.000. La regularidad del patrón debería alcanzar para que ningún hotel lo trate como un evento excepcional.

QUÉ DATOS EXACTOS QUEDARON EXPUESTOS Y POR QUÉ IMPORTA

Los datos comprometidos incluyen nombres completos, correos, direcciones, números de teléfono y cualquier información compartida con el alojamiento. La empresa confirmó que la información financiera no fue accedida.

Para un hotel, el problema no es la ausencia de datos financieros en la filtración. Es que los datos expuestos son exactamente los que un estafador necesita para hacerse pasar por el hotel. Con el nombre del huésped, las fechas de estadía, el hotel confirmado y su número de teléfono se construye un mensaje altamente convincente: "Hola, soy de recepción del Hotel X, confirmamos su reserva del 23 al 26; para completar el pre-check-in necesitamos que valide los últimos 4 dígitos de la tarjeta con la que reservó".

El huésped, que reconoce todos los datos del mensaje, entrega la información. El hotel no se entera hasta que llega el huésped al lobby con el cargo fraudulento y el reclamo.

UN PROTOCOLO DE COMUNICACIÓN QUE PROTEGE AL HUÉSPED

No hace falta una inversión mayor en ciberseguridad para cerrar la mayor parte de este riesgo. Hace falta claridad en la comunicación con el huésped.

Los hoteles que están manejando bien este tema tienen tres cosas definidas por escrito. Primero, un único canal oficial de comunicación previa (correo corporativo con dominio propio, WhatsApp Business verificado, o ambos), comunicado en el correo de confirmación. Segundo, una política clara de qué se pide y qué no se pide por esos canales —los datos de tarjeta nunca se solicitan por correo ni por WhatsApp, solo a través de enlaces de pago seguros—. Tercero, una frase corta en la confirmación que le dice al huésped qué hacer si recibe cualquier otra comunicación: "si alguien le pide datos de tarjeta fuera de nuestro sistema de pagos oficial, ignore el mensaje y contáctenos al teléfono oficial".

Esa claridad, en muchos casos, es la diferencia entre proteger al huésped y perderlo.

CIBERSEGURIDAD HOTELERA: MÁS ARQUITECTURA QUE TECNOLOGÍA

La lección del incidente de Booking.com no es nueva, pero vale repetirla: ningún hotel está completamente aislado de la ciberseguridad de los canales de distribución con los que trabaja. La única respuesta realista es construir el propio perímetro.

Eso implica mirar el stack completo: qué datos se reciben de cada OTA, dónde se almacenan, quién los consulta, qué comunicaciones salen al huésped, desde qué sistemas y con qué dominios. La mayoría de los hoteles medianos en Latinoamérica no tiene una respuesta clara para estas preguntas. Y ese es, en sí mismo, el primer problema a resolver.

En GuestEyes trabajamos con hoteles en Latinoamérica que están revisando su arquitectura tecnológica con este criterio: cómo asegurar la integridad de los datos del huésped más allá de las herramientas individuales. Si estás pensando en esto, podemos conversar sobre por dónde empezar.