El riesgo de pedir demasiados datos personales en los Hoteles

El Real Decreto 933/2021, aprobado en diciembre en España, que obliga a los hoteles y empresas de alquiler de vehículos a recopilar una cantidad significativa de datos personales de los viajeros, ha levantado numerosas preocupaciones en términos de privacidad y ciberseguridad. Aunque el objetivo declarado de esta normativa es mejorar la seguridad y la trazabilidad, la cantidad y el tipo de datos exigidos abren un debate crucial: ¿realmente es necesario exponer a los ciudadanos a mayores riesgos en un contexto donde las brechas de datos son cada vez más frecuentes? Si bien los hoteles y empresas de alquiler de vehículos son puntos clave para la seguridad nacional, esta obligación de recopilar y almacenar datos sensibles puede convertirse en un arma de doble filo.

Según la nueva normativa, los hoteles y empresas de alquiler de vehículos deben recopilar datos personales de los viajeros, incluidos los más esperables como nombre, apellidos, número de documento de identidad, nacionalidad, fechas de entrada y salida, correo electrónico o método de pago; junto a otros menos razonables (a juicio de este autor) como son el sexo, la dirección permanente de residencia, el número de tarjeta o el número de cuenta bancaria (IBAN), la caducidad de la tarjeta (ya solo les haría falta el CVV, que es un código de 3 cifras, y que se puede llegar a sacar, sin grandes esfuerzos, por parte de los cibercriminales para poder hacer pagos en nuestro nombre), la relación de parentesco entre los viajeros o el teléfono móvil y fijo (no sé quién sigue usando fijo, pero es obligatorio). Esta información debe ser almacenada y puesta a disposición de las fuerzas de seguridad si es requerida. Si bien esto podría ser útil para la prevención de delitos o la identificación de personas en riesgo, la cantidad de información personal que queda almacenada en bases de datos vulnerables plantea preocupaciones legítimas sobre cómo se protege esta información.

A juicio de este autor, es bastante cuestionable la eficacia directa de la medida en sí. Citando a Manuel Huerta, CEO de Lazaruz Technology en un reciente artículo para Hosteltur, con unos simples cálculos se aproxima que la eficacia de estas medidas está en un 0,018%. Eso significa que se están recopilando de manera excesiva los datos del 99,98% de los viajeros. A menudo, a este autor le gustaría que los legisladores funcionaran de forma más similar a una empresa, de modo que tuvieran que armar un caso de negocio (Business case en inglés) para realizar un análisis de coste-beneficio de cara a poder aplicar medidas como la que hoy nos ocupa en este artículo. Con esa ratio de eficacia, ninguna empresa razonable daría luz verde a la medida. 

Los hoteles, por su naturaleza, son objetivos atractivos para los ciberdelincuentes. Manejan grandes cantidades de datos personales y financieros, y, muchas veces, carecen de los recursos adecuados para proteger esta información. Algunos de los ciberataques más destacados en la industria hotelera demuestran los riesgos que este tipo de normativa puede exacerbar:

• El caso de Marriott International (2018): Un ciberataque masivo comprometió los datos de aproximadamente 500 millones de huéspedes. Los atacantes accedieron a nombres, direcciones, correos electrónicos, números de teléfono e incluso detalles de pasaportes y tarjetas de crédito.
• Ataques a cadenas de lujo como Hyatt y Hilton: Estas cadenas han sido víctimas de filtraciones de datos en múltiples ocasiones, exponiendo información de clientes y detalles de reservas.
• La brecha de MGM Resorts (2020): Los datos de más de 10 millones de huéspedes, incluidos nombres, números de teléfono y correos electrónicos, se filtraron en foros de la dark web.
• Ransomware en Nordic Choice Hotels (2021): Un ataque de ransomware paralizó la operativa de esta cadena hotelera, exponiendo datos personales y afectando la experiencia de los huéspedes.

Por otro lado, las empresas de alquiler de vehículos no se quedan atrás, con su propio historial de ataques:

• Avis Budget Group (2018): Una vulnerabilidad en su sistema de gestión de reservas permitió a los atacantes acceder a datos sensibles de los clientes, incluyendo detalles de tarjetas de crédito y números de permisos de conducir.
• Hertz (2019): Los atacantes lograron acceder a cuentas de clientes de Hertz, utilizando credenciales robadas para realizar reservas fraudulentas. Los clientes afectados informaron de cargos indebidos y robo de información personal.
• Enterprise Holdings (2022): Aunque no se trata de un ciberataque directo, un estudio reveló que algunas bases de datos utilizadas por proveedores de servicios de alquiler de vehículos estaban mal configuradas, exponiendo datos de clientes y registros de alquiler.

Estos incidentes no solo comprometen la privacidad de los clientes, sino que también exponen a las víctimas a un riesgo mayor de suplantación de identidad, fraude financiero y ataques de phishing personalizados.

Por tanto, con esta normativa, estas empresas estarán obligadas a gestionar y almacenar una mayor cantidad de datos personales, aumentando significativamente el riesgo de ciberataques y brechas de seguridad. Es importante destacar, además, que el Real Decreto explicita el “No incremento de gasto público”, dejando que sean las empresas las que se valgan por sí mismas en el cumplimiento de estas directrices. 

Aunque la intención detrás del Real Decreto es legítima, las consecuencias no deseadas, en opinión de este autor, superan claramente a los beneficios. La privacidad no debe ser un sacrificio automático en nombre de la seguridad, especialmente cuando hay soluciones más equilibradas disponibles. En lugar de imponer la recopilación de datos masiva y obligatoria, se debería haber optado por alternativas que podrían ofrecer un equilibrio entre seguridad y privacidad. Los viajeros deberían tener derecho a saber que su información está protegida (y no hay información más protegida que la que nunca llegas a dar), y los hoteles necesitan apoyo para cumplir con estos nuevos requisitos sin convertirse en un blanco fácil para los ciberdelincuentes. Por ello, en un contexto donde los ciberataques son cada vez más frecuentes, es fundamental replantearse esta normativa para encontrar un equilibrio entre la seguridad nacional y la protección de los datos personales.