La plataforma de gestión hotelera Otelier, utilizada por más de 10.000 hoteles en todo el mundo, ha sido víctima de un ciberataque que comprometió información personal y datos de reservas de huéspedes de marcas hoteleras reconocidas como Marriott, Hilton y Hyatt. El ataque, que comenzó en julio de 2024 y se prolongó hasta octubre, permitió a los atacantes acceder a casi 8 terabytes de datos almacenados en los servidores en la nube de Amazon S3 de Otelier.
Detalles de la brecha de seguridad
Los atacantes lograron infiltrarse en los sistemas de Otelier utilizando credenciales robadas de un empleado, obtenidas a través de un malware especializado en robar información. Estas credenciales les permitieron acceder inicialmente a un servidor de Atlassian de la empresa, donde consiguieron más datos sensibles, incluidas claves para los contenedores S3. A partir de ahí, descargaron millones de documentos relacionados con la gestión hotelera.
Entre los datos robados se encuentran informes nocturnos, auditorías de turnos y registros contables de hoteles, además de información personal de huéspedes, como nombres, direcciones, números de teléfono y correos electrónicos. Según Troy Hunt, experto en ciberseguridad y fundador de la plataforma «Have I Been Pwned», los datos filtrados incluyen 39 millones de registros de reservas y una tabla de usuarios con 212 millones de entradas, aunque con 1,3 millones de direcciones de correo únicas debido a repeticiones.
Respuesta de Otelier y las marcas afectadas
Otelier confirmó el incidente y afirmó estar trabajando con expertos en ciberseguridad para investigar el ataque y fortalecer sus sistemas. «Nuestra prioridad es proteger a nuestros clientes y mejorar la seguridad para prevenir futuros incidentes», declaró la empresa. También se informó que las cuentas comprometidas fueron deshabilitadas y los protocolos de ciberseguridad se están reforzando.
Marriott, uno de los principales afectados, confirmó que no se detectaron brechas en sus sistemas, pero suspendió los servicios automatizados proporcionados por Otelier hasta que finalice la investigación. Un portavoz de Marriott señaló: «Tomamos precauciones inmediatas al conocer el incidente y estamos colaborando estrechamente con Otelier y expertos en ciberseguridad.»
Hyatt y Hilton, también mencionados en el ataque, no han emitido comentarios al respecto.
Intentos de extorsión y riesgos para los usuarios
Los atacantes intentaron extorsionar a Marriott, creyendo inicialmente que los datos de los contenedores S3 pertenecían directamente a la cadena hotelera, exigiendo pagos en criptomonedas para no filtrar la información. Sin embargo, tras la rotación de credenciales en septiembre, perdieron acceso al sistema.
Aunque no se robaron contraseñas ni datos de facturación, los expertos advierten que la información expuesta podría ser utilizada en ataques de phishing dirigidos, haciendo pasar mensajes fraudulentos como comunicaciones oficiales de los hoteles implicados.
Recomendaciones para los usuarios afectados
Se insta a los usuarios de las marcas afectadas a:
- Estar atentos a correos electrónicos sospechosos que puedan intentar suplantar a los hoteles.
- No proporcionar información sensible en respuesta a solicitudes no verificadas.
- Verificar si su dirección de correo ha sido comprometida utilizando plataformas como Have I Been Pwned.
Un problema creciente para el sector hotelero
Este incidente pone en evidencia la creciente vulnerabilidad de los sistemas de gestión en la nube utilizados en la industria hotelera. A medida que las plataformas digitales centralizan la información, se convierten en objetivos atractivos para los ciberdelincuentes. Este ataque no es un caso aislado, ya que otras plataformas relacionadas con la industria de la hospitalidad en la Unión Europea y más allá también han sido vulneradas en los últimos años.
El impacto de este ciberataque, tanto en la reputación de las marcas afectadas como en la confianza de sus clientes, podría ser significativo, subrayando la necesidad urgente de fortalecer las medidas de seguridad en el sector.
vía: Bleeping computer
