Hoteles bajo ataque: hackers se hacen pasar por huéspedes con archivos ZIP envenenados
Campaña de phishing dirigida a hoteles en Europa y Asia utiliza quejas falsas y servicios legítimos para evadir la seguridad
2 de julio de 2026 · 5 min de lectura
¿Qué ha ocurrido?
Desde abril de 2025, Microsoft Threat Intelligence ha detectado una campaña de phishing dirigida a hoteles y organizaciones de hospitalidad en Europa y Asia. Los atacantes envían correos electrónicos a recepcionistas, personal de recepción y reservas con temas como quejas de huéspedes, infestaciones de chinches o consultas de reserva. Los correos están escritos en danés, neerlandés y japonés, adaptándose al idioma local. Esta segmentación lingüística no es casual: refleja un conocimiento previo de los objetivos, probablemente obtenido de bases de datos filtradas o scraping de sitios web hoteleros. Según Microsoft, la campaña ha afectado a cadenas hoteleras medianas y grandes, aunque no se han revelado nombres específicos.
Para evadir los controles de autenticación (SPF, DKIM, DMARC), los atacantes abusan de servicios legítimos como Calendly y la infraestructura de redirección de Google. Esto les permite realizar un “lavado de autenticación” que hace que los correos parezcan legítimos. Técnicamente, los atacantes generan enlaces de Calendly que redirigen a páginas controladas por ellos, aprovechando que los dominios de Calendly y Google tienen buena reputación. Es un salto cualitativo respecto a campañas anteriores que usaban dominios maliciosos o cuentas comprometidas; ahora el phishing se oculta tras servicios de confianza.
Los archivos adjuntos son archivos ZIP con nombre temático de fotos (p. ej., 'fotos_habitacion_304.zip') que contienen archivos .LNK (acceso directo) disfrazados de imágenes .PNG. Al abrirlos, se desencadena una cadena de infección de múltiples etapas que instala un implante basado en Node.js persistente. La elección de Node.js es inusual: la mayoría de los implantes usan PowerShell o scripts VBS; Node.js permite mayor ofuscación y capacidades multiplataforma. El malware modifica Microsoft Defender para excluirse a sí mismo y a otros ejecutables aleatorios del escaneo, copiándose en múltiples ubicaciones para asegurar su persistencia. También crea entradas en Run y RunOnce del registro, y programa tareas programadas.
¿Por qué es importante?
Esta campaña es significativa por varias razones:
- Persistencia silenciosa: El malware modifica Microsoft Defender para excluirse a sí mismo y a otros ejecutables aleatorios del escaneo, copiándose en múltiples ubicaciones para asegurar su persistencia. Además, desactiva notificaciones de Windows Defender, lo que dificulta que el usuario note la infección.
- Capacidades de reconocimiento: Una vez instalado, el implante realiza beaconing hacia servidores C2, recopila información del entorno (IP pública, detalles del sistema), lanza sesiones de navegador sin cabeza (headless) y, en algunos casos, fuerza apagados inmediatos del sistema. El uso de navegadores headless sugiere que los atacantes intentan interactuar con portales web internos (p. ej., sistemas de reservas) desde la máquina comprometida, como si fueran el empleado legítimo.
- Objetivo desconocido: Aunque Microsoft no puede determinar el objetivo final, todo apunta a una fase de reconocimiento previa a un ataque más disruptivo, como ransomware o exfiltración de datos. Históricamente, el sector hotelero ha sido blanco de ransomware (ej. el ataque a MGM Resorts en 2023), y esta campaña podría ser un preludio similar.
- Evasón de seguridad: El uso de servicios legítimos para el lavado de autenticación demuestra una sofisticación creciente en las técnicas de phishing, dificultando la detección por parte de los filtros de correo tradicionales. Las soluciones de seguridad que solo revisan reputación de dominio o SPF/DKIM fallan aquí porque los correos pasan todas las verificaciones.
Además, la campaña muestra una evolución respecto a tácticas previas: en 2023, se detectaron campañas similares que abusaban de servicios de almacenamiento en la nube (Dropbox, Google Drive) para alojar archivos maliciosos; ahora el lavado de autenticación es el nuevo vector. Esto indica que los atacantes están innovando constantemente para sortear las defensas de correo electrónico.
¿Qué consecuencias tendrá?
Si los atacantes logran establecer persistencia en los sistemas hoteleros, podrían:
- Robar datos de huéspedes (información personal, datos de tarjetas de crédito). En la UE, una brecha de este tipo podría acarrear multas de hasta el 4% de la facturación global bajo el GDPR. Por ejemplo, la cadena Marriott fue multada con 18,4 millones de libras en el Reino Unido por una brecha en 2018.
- Desplegar ransomware que paralice las operaciones del hotel. El ransomware DarkSide, que afectó a Colonial Pipeline en 2021, mostró cómo un ataque puede detener operaciones críticas; en un hotel, el impacto incluiría cancelaciones masivas y pérdida de ingresos.
- Utilizar los sistemas comprometidos como punto de entrada para atacar otras partes de la red corporativa, como sistemas de gestión de propiedades (PMS) o bases de datos centrales.
- Interrumpir servicios críticos como reservas, check-in y sistemas de gestión de propiedades, generando caos operativo y daños reputacionales.
Las consecuencias económicas y reputacionales para los hoteles afectados podrían ser graves, incluyendo multas por violación de datos (GDPR) y pérdida de confianza de los clientes. Un estudio de IBM de 2024 estima que el costo promedio de una filtración de datos en la industria hotelera es de 3,5 millones de dólares, sin contar daños a la marca. Además, la interrupción del servicio puede llevar a pérdidas de reservas y cancelaciones, como se vio en el ataque a la cadena MGM Resorts en 2023, que reportó pérdidas de 100 millones de dólares.
¿Qué deben saber los lectores?
Microsoft recomienda que las organizaciones se centren en detectar el comportamiento de la campaña en lugar de indicadores individuales. Las señales clave incluyen:
- Archivos ZIP con tema de fotos recibidos por correo, especialmente si provienen de remitentes desconocidos o inesperados.
- Actividad inusual de PowerShell, como ejecución de scripts desde directorios temporales o descarga de payloads.
- Ejecución inesperada de Node.js desde directorios de perfil de usuario (p. ej., %AppData%).
- Compilación de .NET iniciada por PowerShell, que puede indicar la descarga de herramientas como Cobalt Strike.
- Cambios en las exclusiones de Microsoft Defender, especialmente si aparecen rutas de ejecutables aleatorios.
- Ejecutables aleatorios ejecutándose desde carpetas temporales (C:\Users\*\AppData\Local\Temp).
- Entradas sospechosas en Run y RunOnce del registro, con nombres que imitan procesos legítimos (ej. 'WindowsUpdate').
- Conexiones salientes a puertos no estándar (como 8443, 4443) y dominios .cfd recién registrados (un TLD poco común, lo que facilita su identificación).
- Actividad de navegador sin cabeza (procesos como chrome.exe --headless) seguida de comandos de apagado forzado (shutdown /s /f /t 0).
Es crucial que los departamentos de TI y seguridad de los hoteles refuercen la concienciación del personal, implementen filtros de correo avanzados que analicen el comportamiento de los enlaces (no solo la reputación) y monitoricen activamente estos patrones de comportamiento. Además, se recomienda restringir la ejecución de Node.js y PowerShell en estaciones de trabajo de usuarios no técnicos, y auditar periódicamente las exclusiones de Defender. La formación del personal debe incluir ejemplos concretos de este tipo de phishing, destacando que los correos pueden estar en idiomas locales y parecer legítimos.
Puntos clave
- Microsoft detecta campaña de phishing activa desde abril contra hoteles en Europa y Asia.
- Los atacantes usan servicios legítimos (Calendly, Google redirect) para evadir autenticación.
- Los archivos ZIP con tema de fotos contienen .LNK que instalan un implante Node.js persistente.
- El malware desactiva Defender, recopila información del sistema y fuerza apagados.
- Se desconoce el objetivo final, pero todo apunta a una fase de reconocimiento previa a ransomware u otro ataque disruptivo.
Preguntas frecuentes
¿Cómo se distribuye el malware?
Mediante correos electrónicos de phishing que simulan quejas de huéspedes, con archivos ZIP adjuntos que contienen archivos .LNK disfrazados de imágenes.
¿Qué hace el malware una vez instalado?
Desactiva Microsoft Defender, se copia en múltiples ubicaciones para persistencia, realiza beaconing C2, recopila información del sistema y puede forzar apagados.
¿Cuál es el objetivo de los atacantes?
Aún no se ha determinado, pero las acciones indican una fase de reconocimiento previa a un ataque más grande, como ransomware o robo de datos.
¿Qué sectores están siendo atacados?
Principalmente hoteles y organizaciones de hospitalidad en Europa y Asia.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.