Tu tarjeta de crédito podría ser robada en hoteles sin darte cuenta

Entre junio y agosto de 2025, los huéspedes de hoteles en varios países enfrentaron un riesgo creciente de robo de datos de tarjetas de crédito, según alertó Kaspersky

La amenaza proviene de un grupo llamado RevengeHotels, activo desde 2015, que reapareció con métodos más sofisticados, incluyendo Inteligencia Artificial (IA) para mejorar la efectividad de sus ataques.

Aunque el foco principal son los hoteles brasileños, la campaña también ha afectado a Argentina, Bolivia, Chile, Costa Rica, México y España.

A inicios del año, el mismo grupo había dirigido ataques a Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto

Cómo operan los atacantes

RevengeHotels utiliza correos de phishing disfrazados de confirmaciones de reservación o incluso solicitudes de empleo.

Los mensajes contienen documentos adjuntos o enlaces que instalan un Troyano de Acceso Remoto (RAT) llamado VenomRAT, que permite a los atacantes controlar los sistemas del hotel y acceder a información sensible, como datos de pago de los huéspedes.

Por ejemplo, un empleado que abra un archivo adjunto creyendo que es un documento legítimo de reserva, podría infectar todo el sistema del hotel, exponiendo los datos de cientos de clientes.

Algunos de los malwares iniciales de RevengeHotels incluyen código probablemente generado mediante IA, lo que dificulta su detección por herramientas de seguridad tradicionales.

VenomRAT se comercializa en la dark web, con licencias de por vida que pueden costar hasta 650 dólares, lo que facilita que el malware se propague rápidamente

Según Lisandro Ubiedo, analista senior de Kaspersky, la IA hace que incluso métodos conocidos como el phishing sean más difíciles de detectar, aumentando el riesgo de robo de información personal y financiera, que luego se vende en la dark web.

Recomendaciones para huéspedes:

• Verificar que el hotel cumpla con estándares de seguridad como ISO o PCI DSS.

• Usar soluciones de seguridad confiables en todos los dispositivos.

• Buscar reseñas o noticias recientes del hotel para evaluar su manejo de datos.

• Usar un correo electrónico y teléfono secundarios para viajes.

• Preferir tarjetas con límite bajo o virtuales, fáciles de cancelar si se detecta fraude.

Medidas para los hoteles

• Asegurar que la infraestructura cumpla con estándares internacionales de ciberseguridad.

• Implementar pagos con autenticación avanzada, tokenización o pasarelas seguras.

• Monitorear reseñas y noticias para anticipar posibles ataques reputacionales.

• Separar cuentas de correo y líneas telefónicas entre operaciones internas, reservas y uso personal de colaboradores.

• Evitar software desactualizado en procesos críticos.

• Capacitar al personal para reportar actividades sospechosas, como correos extraños o solicitudes inusuales de datos de clientes.

Con la expansión de esta campaña, tanto huéspedes como hoteles deben reforzar su seguridad digital y mantenerse alertas ante correos y solicitudes sospechosas