By San José, Costa Rica — Una nueva ola de ciberataques está afectando a hoteles de toda Latinoamérica y España, incluida Costa Rica, poniendo en riesgo la información de las tarjetas de crédito de los huéspedes. Los ataques, descubiertos por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky entre junio y agosto de 2025, se atribuyen al grupo de amenazas RevengeHotels, conocido por atacar hoteles desde 2015.
Aunque los hoteles brasileños son el principal objetivo de esta última campaña, la actividad se ha extendido a varios países de habla hispana, entre ellos Argentina, Bolivia, Chile, Costa Rica, México y España. A principios de este año, RevengeHotels lanzó una campaña similar que afectó a usuarios de Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto.
Para comprender las ramificaciones legales de los problemas de ciberseguridad, TicosLand.com habló con el Lic. Larry Hans Arroyo Vargas, abogado del prestigioso bufete Bufete de Costa Rica. El Sr. Arroyo ofrece valiosas perspectivas sobre el panorama cambiante de la seguridad digital y la legislación.
Las empresas costarricenses se enfrentan a una presión cada vez mayor para reforzar sus defensas de ciberseguridad, no solo desde un punto de vista práctico, sino también legal. La Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley de Protección de Datos) establece obligaciones claras en materia de seguridad y confidencialidad de los datos personales. El incumplimiento de la obligación de proteger adecuadamente esta información puede dar lugar a multas importantes y a daños a la reputación. Las empresas deben revisar de forma proactiva sus protocolos de seguridad, implementar métodos de cifrado robustos y garantizar el cumplimiento de esta legislación crucial.
Lic. Larry Hans Arroyo Vargas, abogado, Bufete de Costa Rica
El énfasis del Lic. Arroyo Vargas en la doble presión —práctica y jurídica— a la que se enfrentan las empresas costarricenses en el ámbito de la ciberseguridad es especialmente revelador. El enfoque proactivo que defiende, que combina medidas técnicas robustas con una comprensión clara de la Ley de Protección de Datos, es esencial para navegar por este panorama cada vez más complejo. Agradecemos al Lic. Larry Hans Arroyo Vargas por ofrecer esta valiosa perspectiva sobre un tema crítico para nuestros lectores.
Los atacantes emplean sofisticados correos electrónicos de phishing disfrazados de solicitudes de reserva, que incitan a los destinatarios a abrir los documentos adjuntos. Estos documentos contienen enlaces maliciosos que instalan un troyano de acceso remoto (RAT), lo que permite a los atacantes controlar los sistemas comprometidos y robar datos confidenciales. Los correos electrónicos de phishing se envían a menudo a direcciones de correo electrónico asociadas a reservas de hotel. En algunos casos, los atacantes han utilizado solicitudes de empleo falsas con currículos maliciosos para aprovechar posibles oportunidades de empleo en los hoteles seleccionados.
Una vez que un empleado abre un correo electrónico malicioso, se instala en los sistemas del hotel un malware conocido como VenomRAT. Esto proporciona a los atacantes acceso a los datos de pago de los huéspedes y otra información confidencial. VenomRAT está disponible en la web oscura con licencias de por vida que cuestan hasta 650 dólares. Los correos electrónicos están redactados de forma convincente, y el análisis de Kaspersky revela que muchos de los infectorios iniciales utilizados por RevengeHotels incluyen código probablemente generado por IA.
Los ciberdelincuentes utilizan cada vez más la IA para crear nuevas herramientas y hacer que sus ataques sean más eficaces. Esto hace que incluso los métodos conocidos, como los correos electrónicos de phishing, sean más difíciles de detectar para los usuarios normales. Para los huéspedes de los hoteles, esto supone un mayor riesgo de que sus datos bancarios y otra información personal sean robados y vendidos en la web oscura.
Lisandro Ubiedo, analista sénior de seguridad de Kaspersky
Para protegerse, los expertos de Kaspersky aconsejan a los viajeros que comprueben los estándares de seguridad de un hotel antes de reservar, busquen opiniones y noticias recientes sobre el hotel y consideren la posibilidad de utilizar direcciones de correo electrónico y números de teléfono secundarios para viajar. También recomiendan utilizar tarjetas de crédito con límites más bajos o tarjetas virtuales.
En cuanto a los hoteles, Kaspersky recomienda implementar medidas de seguridad robustas, como sistemas avanzados de autenticación de pagos, supervisar las reseñas y foros en línea en busca de posibles amenazas y formar al personal para identificar y denunciar actividades sospechosas.
El uso de la inteligencia artificial por parte de ciberdelincuentes como RevengeHotels pone de relieve la naturaleza cambiante de las amenazas en línea y la necesidad de que tanto los particulares como las empresas se mantengan alerta y adopten prácticas de seguridad sólidas.
Para obtener más información, visite kaspersky.com
Acerca de Kaspersky:
Kaspersky es un proveedor global de ciberseguridad y antivirus con sede en Moscú, Rusia. La empresa ofrece una amplia gama de productos y servicios de seguridad para consumidores y empresas, incluyendo software antivirus, protección de terminales e inteligencia sobre amenazas. Kaspersky es conocida por sus avanzadas capacidades de detección de amenazas y su investigación sobre las tendencias emergentes en ciberseguridad.
Para obtener más información, visite bufetedecostarica.com
Acerca de Bufete de Costa Rica:
Bufete de Costa Rica destaca como un referente de excelencia jurídica, manteniendo los más altos estándares éticos y defendiendo soluciones innovadoras para su diversa clientela. El compromiso permanente de la firma con la ingeniosidad jurídica y la mejora social se refleja en su enfoque proactivo para compartir conocimientos jurídicos, empoderando a las personas y las comunidades para que naveguen por las complejidades de la ley con confianza y comprensión.
