Connect with us
Noticias Jurídicas

7.000 euros de sanción para un hotel por no proteger los datos de sus huéspedes

El correo corporativo del alojamiento, que se anunciaba por la plataforma 'Booking', fue atacado por unos ciberdelincuentes que sustrajeron información privada de los clientes

(Imagen: E&J)

María González Villasevil

Redacción editorial E&J




Tiempo de lectura: 3 min



Noticias Jurídicas

7.000 euros de sanción para un hotel por no proteger los datos de sus huéspedes

El correo corporativo del alojamiento, que se anunciaba por la plataforma 'Booking', fue atacado por unos ciberdelincuentes que sustrajeron información privada de los clientes

(Imagen: E&J)



La Agencia Española de Protección de Datos ha sancionado con 7.000 euros a Pillow Hotels por no proteger los datos personales de sus clientes (DNI, nombre y apellidos, los números de teléfono, y el tiempo de la estancia, entre otros), lo que provocó que los ciberdelincuentes pudieran acceder a ellos.

Debido a esa vulneración en la seguridad informática del hotel, los huéspedes estaban recibiendo llamadas y correos sospechosos tratando de suplantar la identidad del alojamiento para estafar a los clientes.



El hotel era conocedor de los intentos de estafa

La sanción (disponible en el botón ‘descargar resolución’) llega a raíz de que una huésped del hotel interpusiera una reclamación ante la AEPD porque tras haber realizado una reserva en el alojamiento bilbaíno Irala, by Pillow, a través de la plataforma Booking (que actúa como intermediaria), recibió al poco tiempo un mensaje de WhatsApp en el que una persona que se identificaba como directora del hotel se dirigió a ella por su nombre y apellidos y le pedía la confirmación de la reserva.

Sin embargo, lejos de ser realmente quien decía ser, se trataba de un ciberdelincuente que accedió al correo corporativo del hotel, obteniendo información de los clientes. El estafador facilitó a la huésped un enlace fraudulento para que introdujera los datos de su tarjeta alegando que era necesario para confirmar la reserva.



Ante la sospecha de que se podía tratar de un fraude, la clienta optó por no hacer caso a la persona que se dirigía a ella por WhatsApp afirmando ser la directora del hotel y contactó directamente con el alojamiento para confirmar que se trataba de un fraude. El hotel, por su parte, le respondió que ya eran conocedores de otros casos similares.



(Imagen: E&J)

La cuenta del alojamiento estaba comprometida por motivos de seguridad

En el proceso de investigación iniciado por la AEPD, Booking colaboró, informando que Pillow Hotels había sido atacado en enero de 2023 a través de la práctica phishing, con el objetivo de obtener credenciales de acceso.

Asimismo, Booking manifestó que en marzo de ese año la cuenta del alojamiento en su plataforma se encontraba comprometida por motivos de seguridad, pero no por culpa de los sistemas de seguridad de la plataforma, los cuales insistieron que no se habían visto comprometidos, sino que la responsabilidad de esos incidentes era únicamente de los alojamientos, los cuales son habitualmente víctimas de ataques phishing.

El hotel, por su parte, informó a la Agencia que a finales de enero de ese mismo año modificaron las contraseñas y los correos electrónicos de sus empleados tras la filtración de datos, la cual creen que se produjo porque un recepcionista abrió un enlace fraudulento que habría dado acceso a los hackers a su correo corporativo.

El alojamiento también aseguró que los hechos estaban siendo investigados, ya que algunos clientes estaban recibiendo llamadas o correos sospechosos tratando de suplantarles.

(Imagen: E&J)

7.000 de sanción

La Agencia ha concluido que el hotel —Pillow Hotels— es responsable de esa filtración de información delicada de sus huéspedes, ya que tras la quiebra de seguridad que se produjo no ha garantizado correctamente la confidencialidad e integridad de los datos de carácter personal.

Por ello, el alojamiento ha sido sancionado con una multa de 7.000 euros, cantidad que corresponde no solo a la falta de medidas de seguridad, también por no haber notificado los incidentes a la autoridad de control.

Última hora jurídica



Recibe nuestra newsletter de forma gratuita