Envío de comunicado a los alojamientos via in-app.

Tras varios días de análisis, contención y refuerzo continuo desde el incidente detectado el pasado 26/12, queremos compartir una actualización completa, así como los aprendizajes y siguientes pasos.

Nuestro objetivo es ser claros, rigurosos y responsables.

Qué ha ocurrido

Durante la monitorización avanzada de la API se detectó actividad automatizada no autorizada, consistente en múltiples llamadas al endpoint de obtención de reservas, realizadas desde infraestructura externa.

El patrón observado indica la reutilización de credenciales válidas de un tercero, lo que permitió la generación de tokens para acceder a información parcial de reservas.

No todos los alojamientos se vieron afectados, pero la actividad detectada fue suficiente para considerarla un intento automatizado a gran escala.

En ningún momento:

Se han visto comprometidos datos de tarjetas de crédito.

Se ha producido acceso a sistemas de pago.

Se ha detectado manipulación de datos ni impacto en la operativa.

El sistema ha permanecido operativo en todo momento.

Es importante aclarar que este incidente no responde a una brecha de seguridad estructural en la plataforma, ni a un fallo de los sistemas de protección habituales.

El origen está relacionado con el uso indebido de credenciales de un tercero, fuera del control directo del sistema, que permitió accesos automatizados a información parcial de reservas.

Aun así, y precisamente por nuestro compromiso con la seguridad, el incidente se ha tratado con el máximo nivel de exigencia, reforzando controles, reduciendo superficies de exposición y sometiendo nuevamente la plataforma a análisis y revisiones externas, incluso cuando ya se había realizado una consultoría previa.

Como parte de estas medidas estructurales, se ha modificado el modelo de acceso de sistemas externos. A partir de ahora, los terceros ya no operan mediante credenciales genéricas, sino a través de accesos individualizados, limitados por token, origen (IP) y permisos estrictamente acotados, evitando que el uso indebido de una credencial externa pueda derivar en accesos amplios o automatizados.

Medidas aplicadas

Desde el primer momento se han aplicado medidas inmediatas de contención, y posteriormente refuerzos adicionales, entre ellos:

Caducidad forzada de todos los tokens activos, eliminando cualquier token previamente obtenido.

Bloqueo de accesos desde IPs no reconocidas.

Aplicación de reglas de firewall en los principales endpoints de la API.

Implementación de listas blancas de servicios autorizados.

Revisión completa de:

• Endpoints que exponen datos.- Creación de reservas, facturación y pagos.- Integraciones y partners.- WebApp de check-in, pagos y accesos.- Logs de todos los intentos de acceso, incluidos los bloqueados.

Actualmente el sistema se encuentra operativo, protegido y bajo monitorización activa reforzada, con seguimiento continuo.

Comunicación a huéspedes

Se ha enviado el correo preventivo a los huéspedes con reservas futuras de los alojamientos que lo han confirmado.

Se continúa realizando el envío para los alojamientos que lo están solicitando hoy.

Es posible que sigan produciéndose intentos de fraude basados en información obtenida con anterioridad, pero no deberían afectar a reservas creadas con posterioridad a la aplicación de estas medidas.

Aprendizajes y siguientes pasos

Este incidente, además de gestionarse de forma inmediata, ha servido para acelerar decisiones estructurales importantes.

En concreto:

El vector identificado estaba relacionado con componentes heredados, que ya estaban en proceso de retirada.

La nueva arquitectura (Unified), diseñada con un modelo de seguridad distinto y más restrictivo, no se ha visto afectada en ningún momento.

A raíz de este episodio, se refuerza la hoja de ruta para reducir progresivamente el uso del panel antiguo, limitando su superficie de exposición y avanzando hacia un entorno más robusto y controlado.

Este proceso no responde a una reacción puntual, sino a una evolución natural de la plataforma, alineada con estándares de seguridad más exigentes.

Nuestro compromiso

Somos plenamente conscientes del impacto reputacional y operativo que situaciones como esta pueden generar, aunque el origen sea externo.

Por ese motivo, nuestro compromiso es claro:

Actuar rápido.

Ser transparentes.

Endurecer la plataforma.

Y minimizar al máximo que este tipo de escenarios puedan repetirse.

Seguiremos monitorizando activamente y comunicando cualquier novedad relevante.

Gracias por vuestra confianza y colaboración.

Un saludo,

Hotelgest ha enviado una comunicación preventiva por correo electrónico a los huéspedes con reservas futuras de los alojamientos que confirmaron explícitamente el envío del aviso a través del mensaje que se envió.

La comunicación tiene como objetivo informar a los huéspedes sobre la existencia de mensajes fraudulentos externos (WhatsApp/SMS/enlaces falsos), explicar cómo identificarlos y reducir el riesgo de que se vean afectados por intentos de phishing.

El envío se ha realizado exclusivamente para los alojamientos que dieron su consentimiento, y únicamente a reservas creadas antes del incidente y con fecha de llegada posterior.

Hotelgest continúa monitorizando la situación y ofreciendo soporte a los alojamientos según sea necesario.

Todos los alojamientos que continúan hoy aceptando el envío del comunicado será enviado hoy.

Medidas adicionales de seguridad y refuerzo de accesos

Como parte del seguimiento continuo del incidente detectado el 26/12, se ha identificado actividad automatizada no autorizada en llamadas a la API para la obtención de reservas.

Como medida inmediata de contención y refuerzo:
• Se ha forzado la caducidad de todos los tokens activos.
• Se han bloqueado accesos desde IPs no reconocidas.
• Se han aplicado reglas de firewall adicionales en los principales endpoints de la API.

Asimismo, se ha implementado una lista blanca de servicios autorizados. Como consecuencia, algunos partners podrían requerir una actualización de IPs permitidas para restablecer su funcionamiento.

El sistema permanece operativo y bajo monitorización activa. No se han detectado evidencias de manipulación de datos ni impacto en sistemas de pago u operativa.

La comunicación preventiva a huéspedes con reservas futuras continúa realizándose para los alojamientos que lo han solicitado.

Comunicado ampliado – Información actualizada sobre el incidente (lenguaje claro y prudente)

A raíz de las consultas recibidas, compartimos información adicional sobre el incidente detectado el 26 de diciembre, con el objetivo de aclarar su alcance, las medidas adoptadas y el estado actual de la investigación.

1. ¿Se ha producido un acceso no autorizado a los sistemas de Hotelgest?

No se ha detectado un acceso generalizado o continuado a los sistemas principales de Hotelgest.

La investigación ha identificado un punto concreto a través del cual pudo obtenerse información parcial de reservas, relacionado con un proceso de intercambio de datos con sistemas externos.
Este punto ha sido deshabilitado y reforzado, y actualmente no se observa actividad anómala asociada a él.

No obstante, la investigación sigue en curso como medida de prudencia.

⸻

1. ¿Se ha tenido acceso a datos sensibles, especialmente tarjetas de crédito?

No.
• No se ha detectado acceso a datos de tarjetas de crédito en claro.
• Los datos de pago, cuando existen, se encuentran cifrados y protegidos.
• No se ha identificado acceso a sistemas de pago ni a información financiera explotable.

⸻

1. ¿Qué significa “mecanismo de integración externa”?

De forma sencilla, se refiere a un sistema que permite intercambiar información básica de reservas entre Hotelgest y otros servicios (por ejemplo, para sincronizar reservas).

En este caso, dicho mecanismo pudo haber permitido el acceso a datos limitados de reserva (como nombre, fechas o establecimiento), sin acceso a credenciales, pagos ni información sensible.

Por prudencia, y mientras la investigación continúa, no atribuimos públicamente el origen a un proveedor concreto.

⸻

1. ¿Se ha accedido con credenciales del hotel o de sus usuarios?

No.

Podemos descartar que:
• Se haya accedido utilizando usuarios o contraseñas del hotel.
• Se hayan obtenido credenciales de personal o cuentas del PMS.
• Sea necesario cambiar contraseñas de usuarios.

⸻

1. ¿La situación está controlada?

Se han aplicado medidas técnicas inmediatas para reducir el riesgo y evitar nuevas extracciones de información desde el punto identificado.

Sin embargo, es importante aclarar que:
• Es posible que terceros sigan utilizando durante un tiempo información parcial obtenida con anterioridad para intentar fraudes (phishing).
• Estos intentos no implican acceso actual a los sistemas, sino reutilización de datos ya obtenidos.

Seguimos monitorizando y analizando la situación de forma activa.

⸻

1. ¿Qué medidas se han adoptado hasta ahora?

Entre otras:
• Desactivación y refuerzo del punto de integración identificado.
• Revisión de accesos e integraciones relacionadas.
• Implementación de controles y monitorización adicionales.
• Reporte y solicitud de desactivación de webs fraudulentas conforme se detectan.
• Comunicación preventiva a hoteles y, cuando corresponde, a huéspedes.
• Notificación del incidente a la autoridad de protección de datos competente.

⸻

1. ¿Qué deben hacer los huéspedes que hayan realizado un pago fraudulento?

En esos casos:
• El pago no se ha producido dentro de los sistemas del hotel ni de Hotelgest.
• El procedimiento habitual es contactar de inmediato con la entidad bancaria y solicitar la reversión por fraude.
• Este es el mecanismo estándar en casos de fraude online.

⸻

1. ¿Debe el hotel realizar alguna notificación a autoridades de protección de datos?

No es necesario.
Hotelgest ya ha realizado la notificación correspondiente a la autoridad de control, conforme a la normativa vigente.

⸻

1. Sobre la comunicación a huéspedes

Cada hotel puede decidir si desea gestionar la comunicación directamente o delegarla en Hotelgest.
En los casos en que el hotel ya haya contactado con sus clientes, no se realizará ningún envío adicional desde nuestra parte.

⸻

Seguimos trabajando activamente en la investigación y mantendremos informados a nuestros clientes ante cualquier novedad relevante.

Un saludo,
Equipo Hotelgest

Habilitada opción de comunicación preventiva a huéspedes por hotel

Hotelgest ha habilitado un flujo de confirmación para que cada hotel pueda decidir si desea que enviemos un comunicado preventivo por correo electrónico a sus huéspedes con reservas futuras.

Esta comunicación se envía únicamente bajo confirmación explícita del hotel, y permite informar a los huéspedes de forma clara y coordinada sobre cómo identificar mensajes fraudulentos y evitar intentos de phishing.

Los hoteles que prefieran gestionar la comunicación por su cuenta pueden optar por no realizar ningún envío desde Hotelgest.

De acuerdo con la normativa vigente en materia de protección de datos, el incidente es notificado de forma preventiva a la autoridad de control competente, como medida de cumplimiento y transparencia.

Comunicación informativa enviada a clientes (hoteles)

Hotelgest informa a sus clientes hoteleros sobre la situación, las medidas adoptadas y las recomendaciones para comunicar de forma adecuada con los huéspedes y reducir el impacto del fraude.

Reporte y desactivación de webs fraudulentas

Las URLs fraudulentas detectadas son reportadas de forma activa a proveedores de seguridad y plataformas de alojamiento.
Varios dominios han sido bloqueados o desactivados como parte de las medidas de mitigación en curso.

Continuidad de intentos de fraude mediante ingeniería social.

A pesar de haberse cerrado el acceso identificado, continúan detectándose intentos de fraude que utilizan información parcial obtenida con anterioridad.
Estos intentos se basan en técnicas de ingeniería social y en el uso de sitios web externos fraudulentos, sin acceso a los sistemas de Hotelgest ni de los hoteles.

Identificación del vector de exposición.
La investigación identifica un mecanismo concreto de integración que permitía el acceso a información parcial de reservas.
No se detecta acceso a sistemas de pago ni a datos financieros sensibles, que permanecen cifrados y protegidos.

El equipo técnico inicia una revisión exhaustiva de los sistemas, integraciones y registros de acceso para identificar posibles accesos indebidos.
En esta fase inicial no se detectan accesos a sistemas de pago ni compromiso de datos financieros o tarjetas.

Se reciben los primeros avisos sobre mensajes fraudulentos enviados por WhatsApp y otros canales, en los que terceros se hacen pasar por hoteles o plataformas de reservas y solicitan pagos o verificaciones mediante enlaces externos.
Se inicia de inmediato una investigación interna para analizar el origen y alcance del incidente.