El 13 de abril de 2026, Booking.com confirmó el robo de datos personales de sus clientes: nombres, correos, teléfonos, direcciones y detalles de reservas. Esos son también los datos de tus huéspedes. Y aunque el ataque fue a Booking, la responsabilidad puede acabar llamando a la puerta de tu hotel.
Atención inmediata: Los delincuentes ya están usando los datos robados para hacerse pasar por hoteles y por Booking ante los viajeros afectados. Tu huésped puede recibir hoy un mensaje fraudulento con los datos reales de su reserva en tu establecimiento. Y pensar que eres tú quien se lo manda.
¿Qué pasó exactamente y qué tiene que ver con tu hotel?
Booking.com detectó que «terceros no autorizados» accedieron a datos de reservas de sus clientes. Los datos comprometidos incluyen nombres completos, correos electrónicos, direcciones físicas, números de teléfono y cualquier información que el viajero compartió con el alojamiento al hacer su reserva. La plataforma asegura que no se tocaron datos bancarios, pero eso no reduce el riesgo para ti como hotelero.
Aquí está el problema real: esa información que robaron no es solo información de Booking. Es información de personas que reservaron habitaciones en tu hotel a través de Booking. Contiene el nombre de tu establecimiento, las fechas de estancia, los datos del viajero y posiblemente solicitudes especiales que ese huésped hizo para su visita. Con todo eso en la mano, un delincuente puede escribir un correo, un WhatsApp o hacer una llamada haciéndose pasar perfectamente por tu recepción, por tu departamento de reservas o por el propio Booking. Y el huésped no tendrá ningún motivo para dudar.
Booking ya avisó a sus usuarios de que desconfíen de comunicaciones que pidan datos de tarjeta fuera de los canales oficiales. Pero ese aviso menciona a los alojamientos como posibles vectores del fraude. O sea: tu hotel va a aparecer en conversaciones de estafa sin que hayas hecho nada malo. Y eso tiene consecuencias reputacionales y legales.
¿Por qué la responsabilidad legal puede caer sobre tu hotel?
Este es el punto que más sorprende a los hoteleros, y es el más importante. El Reglamento General de Protección de Datos (RGPD) es muy claro: el responsable del tratamiento de los datos de tus huéspedes eres tú. No Booking. Tú.
Cuando un viajero hace una reserva en tu hotel a través de Booking, comparte información personal contigo. Esos datos entran en tu sistema de gestión hotelera (PMS), en tu bandeja de entrada, en tu Channel Manager. Tú eres quien los recibe. Y según los artículos 24 y 32 del RGPD, tú eres quien tiene la obligación de garantizar su seguridad, aplicar las medidas técnicas necesarias y responder por cualquier daño si hay una brecha. No importa que el fallo haya ocurrido en los servidores de un tercero.
La AEPD ya sancionó a un hotel por una brecha vinculada a Booking
No es una hipótesis. La Agencia Española de Protección de Datos (AEPD) sancionó a Pillow Hotels, una pyme de 13 empleados, con 4.200 euros por no proteger adecuadamente los datos de sus clientes tras una brecha de seguridad relacionada con ataques de phishing a través de Booking.com. Los datos robados incluían nombre, apellidos, DNI, fechas de estancia e importe de la reserva. La AEPD fue tajante: aunque el ataque llegó a través de la plataforma externa, el hotel era el responsable del tratamiento de esos datos y debía haber aplicado las medidas necesarias para protegerlos.
Booking, por su parte, se desentendió del incidente afirmando que sus sistemas internos no habían sido vulnerados. La responsabilidad recayó sobre el alojamiento.
Eso que pasó antes puede repetirse ahora, a mayor escala. Si la AEPD investiga el incidente actual y comprueba que los establecimientos no tenían medidas de seguridad adecuadas para los datos que gestionaban a través de Booking, las sanciones pueden llegar. Y esta vez afectaría a muchos más hoteles a la vez.
¿Qué hace tan vulnerable al sector hotelero?
Los hoteles son uno de los objetivos favoritos de los ciberdelincuentes, y no es casualidad. Un hotel tiene lo que cualquier atacante busca: una enorme cantidad de datos personales muy valiosos, sistemas conectados a múltiples plataformas externas y, en muchos casos, equipos de IT pequeños o inexistentes.
Piensa en todo lo que maneja tu hotel a diario: los datos del pasaporte del huésped en el check-in, los datos de la tarjeta de crédito en el momento del pago, las preferencias personales en las notas de la reserva, los correos con peticiones especiales, el historial de estancias. Todo eso vive en tu PMS, en tu correo, en el Channel Manager conectado a Booking, Expedia y otras OTAs. Cada una de esas conexiones es una puerta.
Y encima, el Wi-Fi. Muchos hoteles tienen una red abierta para huéspedes que no está correctamente separada de la red interna del negocio. Un delincuente que se conecte al Wi-Fi de la zona común puede, si esa separación no existe, acceder a los sistemas de recepción. Es más fácil de lo que parece.
El ataque que no ves venir
El phishing dirigido a hoteles ha evolucionado mucho. Ya no son correos con mala ortografía. Hoy los delincuentes usan inteligencia artificial para redactar mensajes perfectos que suplantan a Booking, a Expedia o incluso a la dirección del propio hotel. Crean situaciones de urgencia, como «su licencia expira mañana» o «hay un problema con una reserva VIP», para que el personal de recepción haga clic sin pensar. Y en el momento en que alguien en tu equipo descarga el archivo adjunto, ya están dentro.
Además, los datos que acaba de robar Booking son perfectos para hacer esos correos de phishing mucho más convincentes. El delincuente ya sabe el nombre del huésped, el hotel donde va a alojarse, las fechas y el teléfono. Con eso puede construir un ataque muy preciso tanto contra el huésped como contra el propio hotel.
¿Tiene tu hotel un plan para cuando llegue el próximo ataque?
No es alarmismo. Es estadística. En España, cada empresa sufrió una media de 1.911 ataques semanales en 2025, según datos de INCIBE. Los hoteles, por su perfil de datos, están entre los objetivos más atractivos. El ciberataque a MGM Resorts en 2023 dejó a los huéspedes sin poder entrar a sus habitaciones durante días y generó pérdidas por encima de los 100 millones de dólares. El de Marriott expuso los datos de 500 millones de huéspedes durante cuatro años antes de que alguien lo detectara. No hace falta ser una cadena internacional para sufrir algo parecido, a menor escala pero igual de devastador para un negocio familiar.
La ciberseguridad estratégica empresarial en el sector hotelero no significa contratar un equipo de expertos ni instalar software carísimo. Significa tratar los datos de tus huéspedes como lo que son: el activo más valioso y más sensible que custodia tu negocio, y gestionarlos con la misma seriedad con la que gestionas las llaves de las habitaciones o el dinero de la caja.
El ciberseguro: la red de seguridad que cada vez más hoteles contratan
Ninguna medida preventiva garantiza el 100% de protección. Por eso, muchos establecimientos hoteleros están añadiendo una capa adicional a su estrategia: el ciberseguro. Una póliza de este tipo cubre los costes de respuesta ante un incidente: investigación forense para saber exactamente qué pasó, recuperación de sistemas, gestión de la comunicación de crisis, responsabilidad ante los huéspedes afectados y los honorarios legales frente a posibles sanciones de la AEPD. En el sector hotelero, donde una brecha puede paralizar el check-in, bloquear el acceso a las habitaciones o exponer datos de cientos de viajeros a la vez, tener esa cobertura financiera es cada vez más una decisión de negocio, no solo de seguridad.
El mercado de los ciberseguros en España creció un 12% en 2024 y hay opciones diseñadas específicamente para pymes y establecimientos del sector turístico. Si aún no has evaluado esta opción, ahora es el momento.
¿Qué debería hacer tu hotel esta semana?
No esperes a que llegue la notificación de la AEPD para ponerte en marcha. Hay acciones concretas que puedes tomar ahora mismo, sin necesidad de invertir una fortuna.
Comunica a tus huéspedes con reservas activas
¿Qué pasa si ya es demasiado tarde y el daño está hecho?
Que un ataque te haya pillado sin prepararte no significa que todo esté perdido, pero sí que los próximos días son cruciales. Lo primero es contener: aisla los sistemas afectados, cambia todas las contraseñas y llama a un profesional de ciberseguridad. Lo segundo es documentar: anota todo lo que ha pasado y cuándo, porque esa documentación va a ser tu principal defensa ante la AEPD. Lo tercero es notificar: si los datos de tus huéspedes han podido quedar expuestos, tienes 72 horas para informar a la Agencia. No esperes.
Y lo cuarto es comunicar. A tus huéspedes, a tus empleados, a tus socios. Con honestidad y con un mensaje claro sobre qué pasó, qué datos se vieron afectados y qué estás haciendo para solucionarlo. Las empresas que comunican bien en una crisis salen reforzadas. Las que se esconden, no.
Escríbeles con tu nombre y desde tu correo oficial. Diles que eres consciente del incidente de Booking y que sus datos de reserva pueden haber sido expuestos. Diles exactamente qué información puede haberse visto afectada. Y diles, con total claridad, que tu hotel nunca les pedirá datos de tarjeta, transferencias bancarias ni pagos adicionales por ningún canal que no sea el oficial. Ese mensaje, enviado hoy, vale más que cualquier campaña de marketing.
El ciberataque a Booking es, en el fondo, una oportunidad disfrazada de susto. Si lees esto hoy y decides tomar aunque sea dos de las acciones que aparecen en este artículo, tu hotel estará mejor protegido mañana de lo que estaba ayer. Y cuando llegue el próximo incidente, y llegará, estarás en una posición mucho mejor para responder con calma, con rapidez y sin que nadie tenga que pagar por ello: ni tus huéspedes, ni tu reputación, ni tu negocio.
Recuerda que el ciberseguro sigue siendo una de tus mejores opciones, ya que no solo ofrece cobertura económica y legal, sino que también proporciona servicios de respuesta a incidentes, permitiéndote contar con profesionales a tu disposición en caso de ataque. Además, existen pólizas que incluyen medidas de prevención técnica, aportando una protección aún más completa.
