El hallazgo se produjo el 24 de marzo de 2026, cuando los investigadores localizaron un servidor vinculado a un actor de amenazas aún no identificado. En él se almacenaban registros correspondientes a más de 173 propiedades y anfitriones individuales, con cerca de 400.000 reservas expuestas.
Según la información facilitada por Cybernews, entre las soluciones afectadas se encuentran Chekin, plataforma española de check-in automatizado, y Gastrodat, proveedor austriaco de software de gestión hotelera, quienes por el momento no se han dado ninguna respuesta pública.
Scripts automatizados y posible exfiltración en tiempo real
El informe de la investigación detalla que el servidor contenía scripts en Python específicamente diseñados para extraer datos de reservas desde sistemas de gestión hotelera mediante APIs. Estos scripts incluían claves codificadas y puntos de acceso directamente vinculados a los sistemas de las plataformas afectadas.
Además, los investigadores identificaron integraciones con Telegram —incluyendo tokens de bots y canales activos—, lo que sugiere que los datos podían ser enviados automáticamente en tiempo real a infraestructuras externas conforme se iban recopilando.
Este patrón apunta a una operativa relativamente sofisticada y continua, más cercana a una extracción sistemática que a una filtración puntual.
Información expuesta
Según el análisis de Cybernews, la base de datos comprometida contenía información personal de hasta cinco millones de personas. Entre los datos filtrados se incluyen: nombres completos, teléfonos, correos electrónicos, fechas y lugares de nacimiento. En algunos casos, incluso, documentos de identidad.
El caso pone de relieve la dependencia de integraciones tecnológicas —APIs, PMS, sistemas de check-in digital— que amplían la superficie de ataque. "La exposición de claves API y la posible falta de controles en el acceso a datos sensibles evidencian la necesidad de reforzar las políticas de ciberseguridad, especialmente en entornos donde intervienen múltiples proveedores tecnológicos", señala el equipo de Cybernews.
