Ahora también puedes estar de vacaciones y que 'te roben' sin siquiera salir del hotel. Los ciberdelincuentes están apuntando contra las empresas que gestionan varios de estos establecimientos por los completos datos que albergan.
El grupo hotelero Shangri-La ha revelado que los cibermalos han logrado acceder a una base de datos de su propiedad que contenía información personal de los clientes que se habían alojado en ocho de sus propiedades entre los meses de mayo y julio de este año. La cadena ha tardado casi tres meses en hacer público el incidente.
Según explican, un actor de amenazas logró eludir los sistemas de monitorización de seguridad de TI de Shangri-La y pudo acceder ilegalmente a las bases de datos de huéspedes.
En concreto, la filtración afectaría a sus establecimientos en Hong Kong, Singapur, Chian Mái, Tapipei y Tokio.
"Se ha descubierto que ciertos archivos se extrajeron de esas bases de datos, pero la investigación no ha podido verificar el contenido de esos archivos", recoge un comunicado enviado por el grupo hotelero.
"Las bases de datos contenían la información de contacto de los huéspedes, pero la información personal, como las fechas de nacimiento, los números de identidad y pasaportes y los detalles de las tarjetas de crédito se encontraban encriptados", añaden.
El grupo asegura que no existen indicios de que los datos de los clientes se hayan usado de manera maliciosa y comparte que ha puesto el asunto en manos de las autoridades y también ha avisado a los huéspedes que podrían haber sido afectados por el incidente.
Lo preocupante es que el hackeo se dio en un intervalo de tiempo en el que uno de los hoteles de Sangri-La en Sigapur albergó la máxima cumbre de seguridad de Asia, según recuerda SecurityWeek.
Tanto el secretario de Defensa de EE.UU., Lloyd Austin, como su homólogo chino, el general Wei Fenghe, estuvieron entre los existentes al citado evento, que tuvo lugar del 10 al 12 de junio. No obstante, no está muy claro cuántos asistentes se quedaron en el hotel.
Un portavoz del Instituto Internacional de Estudios Estratégicos, organizador de la cumbre seguridad, ha hecho un llamamiento a la tranquilidad, ya que según su conocimiento los datos del evento se almacenarían en otro servidor seguro independiente.
Otros incidentes de seguridad en hoteles
Esta no ha sido la única brecha de seguridad que se ha dado en una cadena de hoteles en los últimos meses.
A principios de mes informábamos en Escudo Digital de que InterContinental había sufrido un ataque de ransomware que anuló sus sistemas TI, obligando al grupo a tomar las reservas por teléfono y a mano.
Además, en julio Marriott vio expuestos los datos de sus clientes y empleados después de un acceso no autorizado a sus sistemas orquestado mediante ingeniería social. Aunque la irrupción solo duró un día los ciberdelincuentes aseguraron haberse hecho con cerca de 20 GB de datos.