Dos de cada tres hoteles —el 67% de los establecimientos estudiados— sufren filtraciones de datos personales y de reserva de sus clientes a otros servicios web como anunciantes y compañías de análisis, según desvela Symantec, que investigó más de 1.500 hoteles en 54 países para determinar el alcance de este problema de privacidad.

En un post oficial, el investigador de la mencionada firma de ciberseguridad Candid Wueest explica que "si bien no es un secreto que los anunciantes rastrean hábitos de navegación de los usuarios, en este caso la información compartida podría permitir a estos terceros iniciar sesión en una reserva, ver detalles personales e incluso cancelar la reserva por completo".

Este investigador realizó una búsqueda al azar de hoteles, desde los de categoría más baja (dos estrellas) hasta los más lujosos resorts de cinco estrellas. "Básicamente, elegí ubicaciones al azar en las que me gustaría pasar mis vacaciones, luego seleccioné los mejores resultados de búsqueda de hoteles en esas ubicaciones", comenta

Wueest apunta además que algunos establecimientos, al formar parte de cadenas hoteleras, si tienen ese problema probablemente lo tendrán otros hoteles de la misma cadena.

Si bien algunos sistemas de reserva eran "recomendables" —sólo revelan un valor numérico y la fecha de la estancia, sin información personal a la que vincularla— la mayoría filtró datos personales, tales como el nombre completo, dirección de e-mail, dirección postal, teléfono móvil, los últimos cuatro dígitos de la tarjeta de crédito, el tipo de tarjeta y sufecha de vencimiento, e incluso el número de pasaporte.

Según recuerda Reuters, este informe se publica pocos meses después de que Marriott International revelara una de las peores violaciones de datos en la historia; no obstante, este estudio no incluye hoteles de dicha cadena.

Problemas en cadena

Así, el informe muestra que los problemas comienzan cuando el hotel en cuestión envía un correo de confirmación con un enlace que no requiere autenticación en el 57% de los casos. Y de ellos, el 26% apunta a una URL no segura.

Además, a menudo estos correos incluyen anuncios con componentes para analíticas, que envían datos a terceros. Estos podrían ser compartidos con más de 30 proveedores de servicios diferentes, incluidas redes sociales, motores de búsqueda. y servicios de publicidad y análisis.

El Reglamento General de Protección de Datos (RGPD), que se aplica directamente en toda la UE, es muy estricto en cuanto a la proactividad —la privacidad por diseño y por defecto—y la comunicación de fallos que impliquen una filtración de datos personales. Pero este sector no parece tomarse las cosas muy en serio a la luz de esta investigación, algo extraño teniendo en cuenta el elevado montante de las sanciones previstas: hasta 20 millones de euros o el 4% de la facturación global anual de las compañías que resulten sancionadas.

"Me puse en contacto con los oficiales de privacidad de datos (DPO) de los hoteles afectados y les informé de mis hallazgos", escribe el investigador en el post. Y los resultados son, cuando menos, preocupantes: El 25% no respondió en seis semanas. De los que respondieron, algunos tardaron en hacerlo 10 días. Algunos se justificaron en su política de privacidad. Y otros admitieron que todavía están actualizando sus sistemas para ser totalmente compatibles con el RGPD.