La AEPD multa con 7.000 euros a un hotel por no proteger la confidencialidad de sus clientes en una reserva de booking

Había reservado una estancia en un hotel a través de booking.com y unos días antes recibió un mensaje a través de Whatsapp en el que una persona -supuestamente el director del establecimiento- se dirigía a ella por su nombre y apellidos y le pedía la confirmación de la reserva. «Hola, me llamo XXX. Reservaste nuestros pisos en booking.com. Soy el director y estamos deseando conocerte, pero debes saber que tengo que finalizar tu reserva. Por favor, hazme saber si está actualizada para que pueda confirmarla», reza en el primer mensaje.

Al hacerlo, los atacantes enviaron otro: «De acuerdo. Por favor, sigue este enlace web para confirmar su reserva. Tu pago se procesará según los términos de tu acuerdo con booking.com. Tienes una opción de cancelación gratuita, así que no te preocupes por la cancelación. Gracias por tu comprensión».

Para ello, le facilitaba un enlace fraudulento para que introdujera los datos de su tarjeta, pero la clienta sospechó y no accedió a hacerlo. Ante su recelo, decidió contactar con el hotel para confirmar el fraude, pero, para su sorpresa, le comunicaron que ya eran conocedores de otros caso similares.

Ahora, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 7.000 euros a esa empresa hotelera, ante la que reclamó la cliente por no tomar las medidas de seguridad oportunas para minimizar el riesgo de fraude y no garantizar debidamente la confidencialidad e integridad de los datos de carácter personal como consecuencia de la quiebra de seguridad producida. Ha penalizado al alojamiento por ser una entidad que se encuentra vinculada con el tratamiento de datos tanto de clientes como de terceros.

Aunque se desconoce el origen de la brecha, la empresa ha reconocido que el origen que motivó el mensaje dirigido a la cliente pudo estar ocasionado por una actuación negligente por parte del hotel al haber caído en la estafa por 'phishing'.

La cronología de los hechos, según consta en la resolución de la AEPD hecha pública ahora, recoge que el hotel «el día 30/01/2023, solicitó a su departamento de informática que modificaran las contraseñas de los correos electrónicos. Con fecha 3/02/2023 se produjo el intento de fraude y suplantación del alojamiento, objeto de la reclamación presentada». Por su parte, la cliente contactó con el alojamiento el día 3 de febrero de 2023. Fue cuando llamó por teléfono y envió un correo electrónico alertando del incidente ocurrido. Al llegar al alojamiento, días después, la persona que le atendió en la recepción le comunicó que «sabían que se había producido la filtración y estaban investigando el origen».

El hotel manifiesta que, efectivamente, el 30/01/2023 su departamento de informática modificó las contraseñas de los correos electrónicos y, tras haber cambiado la clave de acceso al correo de recepción, el incidente quedó solventado. Respecto al motivo de este cambio, manifiestan: «Accedieron al mail de la empresa y se procedió al cambió la contraseña», sin aportar más detalle. Cabe destacar que el intento de fraude a la parte reclamante se produjo después, el 03/02/2023, y fue en esta fecha cuando se puso en contacto con el alojamiento.

Por tanto, de conformidad a lo anterior, la AEPD estima que el hotel sería responsable de la vulneración de los artículos 5.1 c), 32.1, 33.1 del Reglamento General de Protección de Datos. Destaca que «la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.»

En principio, la AEPD ha propuesto una sanción de 3.000 euros por la infracción del artículo 5.1.f) del RGPD (principio de confidencialidad), al no garantizar que solo las personas autorizadas pudieran acceder a ellos.

Otra de 2.000 euros, por la infracción del artículo 32.1 del RGPD, al considerar que la empresa no había aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento,

Y, por último, una tercera de 2.000 euros por la infracción del artículo 33.1 del RGPD, que obliga a notificar las brechas de seguridad a la autoridad de control y a los afectados.

No obstante, al haber realizado el pago voluntario, la empresa se ha beneficiado de dos reducciones, teniendo que abonar finalmente 4.200 euros.

• Temas
• Agencia Española de Protección de Datos
• Ciberataque
• Ciberseguridad
• Hackers
• Internet
• Phishing
• Timos y estafas