El 31% de las empresas del sector hotelero han sufrido una brecha de datos

La transformación digital del sector hotelero ha traído consigo enormes oportunidades en términos de eficiencia operativa, personalización del servicio y mejora de la experiencia del cliente. Sin embargo, esta evolución también ha incrementado de forma exponencial la exposición a riesgos digitales. En este contexto, HOSBEC celebró una jornada especializada de la mano de RER (Recursos en la red) sobre ciberseguridad, prevención y análisis de riesgos, con el objetivo de concienciar y dotar a los establecimientos hoteleros de criterios claros para diseñar una estrategia de seguridad sólida y alineada con los retos actuales.

En 2025 se detectó una nueva ola de ciberataques dirigidos a todo tipo de empresas y sistemas, que afectó también a hoteles en España, por parte de grupos organizados que buscan robar datos de tarjetas de crédito y otra información sensible de huéspedes, lo que pone de manifiesto que los ataques ya no son esporádicos, sino campañas coordinadas con creciente sofisticación, incluso utilizando inteligencia artificial para evadir defensas tradicionales. Además, en este ejercicio que está a punto de finalizar, también se detectaron numerosas incidencias de intentos de estafa por suplantación de identidad dirigidas al corazón de la gestión y administración de empresas hoteleras.

Estudios especializados destacan que aproximadamente el 31% de las empresas del sector hotelero han sufrido una brecha de datos en algún momento, y de estas, el 89% han sido vulneradas más de una vez en un mismo año, lo que subraya la persistencia del riesgo y la necesidad de medidas de seguridad continuas.

Para HOSBEC, la ciberseguridad no debe entenderse como un gasto tecnológico, sino como una inversión estratégica ligada directamente a la calidad del servicio, la continuidad del negocio y la confianza del cliente.

El sector hotelero gestiona un volumen elevado de información sensible: datos personales, financieros, de salud, preferencias de consumo o información de empleados. Toda esta información está sujeta al Reglamento General de Protección de Datos (RGPD) y su pérdida o uso indebido puede derivar en graves sanciones económicas, e incluso una responsabilidad penal, y, sobre todo, en un importante daño reputacional.

Gestión de la seguridad

Uno de los ejes centrales de la estrategia de ciberseguridad en la que trabaja HOSBEC es la necesidad de implantar Sistemas de Gestión de la Seguridad de la Información (SGSI) como marco estructurado para proteger los activos de información. Esta propia organización (HOSBEC) durante este año 2025 ha obtenido la certificación según ISO 27001 adoptando este estándar internacional y dando ejemplo como organización empresarial.

Un SGSI permite identificar qué información es crítica, qué amenazas existen, cuáles son las vulnerabilidades reales del hotel y qué controles deben aplicarse para reducir el riesgo a niveles aceptables. Este enfoque sistemático supera la visión reactiva y fragmentada de la seguridad y sitúa la toma de decisiones en un plano estratégico y basado en evidencias.

El análisis de riesgos fue otro de los aspectos clave abordados. No todos los riesgos pueden ni deben eliminarse, pero sí deben conocerse, evaluarse y gestionarse. En este sentido, se destacó la importancia de combinar medidas de prevención (controles técnicos, formación del personal, buenas prácticas), aseguramiento del riesgo (ciberseguros adaptados al nivel de madurez real de la organización) y acciones de mitigación, como planes de respuesta ante incidentes, copias de seguridad y protocolos claros de actuación.

HOSBEC subrayó además la necesidad de avanzar en la profesionalización de la gestión tecnológica dentro de los hoteles, impulsando la definición clara de figuras clave como el CTO (Chief Technology Officer) y el CISO (Chief Information Security Officer). Estos roles permiten separar la gestión tecnológica de la gestión del riesgo, garantizando que la seguridad de la información tenga voz propia en la toma de decisiones estratégicas y no dependa exclusivamente de soluciones puntuales o proveedores externos. La asociación ya está trabajando para disponer de estos perfiles y que sus asociados puedan disponer de un servicio especializado y exclusivo que ninguna otra asociación pueda ofrecerles.