BWH Hotels, la empresa matriz detrás de Best Western Hotels & Resorts, WorldHotels y SureStay Hotels, ha destapado una brecha de datos después de que hackers accedieran a sistemas de reservas de huéspedes durante más de seis meses.
Según los avisos enviados a los clientes afectados, la empresa descubrió actividad no autorizada el 22 de abril de 2026, relacionada con una aplicación web utilizada para almacenar información de reservas de hotel. Los investigadores determinaron posteriormente que los atacantes tuvieron acceso al sistema entre el 14 de octubre de 2025 y el 22 de abril de 2026.
La información comprometida incluye nombres de huéspedes, direcciones de correo electrónico, números de teléfono, direcciones residenciales, números de reserva, fechas de estancia y solicitudes especiales asociadas a reservas de hotel. BWH Hotels indicó que la información de tarjetas de pago y bancaria no se vio afectada porque los datos financieros no se almacenaron en la aplicación afectada.
La empresa no ha revelado cuántos huéspedes se vieron afectados por la brecha. Sin embargo, BWH Hotels opera más de 4.000 hoteles en todo el mundo con múltiples marcas, incluyendo Best Western, WorldHotels y Sure Hotels.
BWH Hotels dijo que los atacantes explotaron una vulnerabilidad en una de sus aplicaciones web para acceder no autorizado a los datos de reservas. Tras descubrir la intrusión, la empresa desconectó la aplicación afectada, revocó accesos no autorizados y lanzó una investigación con la ayuda de expertos externos en ciberseguridad.
En las notificaciones a los clientes, la empresa advirtió a los huéspedes que tuvieran cuidado con correos electrónicos de phishing, mensajes de texto sospechosos, páginas de reservas falsas y llamadas telefónicas fraudulentas que hicieran referencia a reservas de hotel. BWH aconsejó específicamente a los clientes no responder a solicitudes inesperadas de pagos, credenciales de acceso, códigos de verificación o información personal.
La brecha genera preocupaciones porque la información expuesta sobre reservas puede ser muy valiosa para los estafadores. Los ciberdelincuentes pueden utilizar datos legítimos de reserva, nombres de hoteles, fechas de viaje e información de contacto para crear campañas de phishing convincentes dirigidas a viajeros con solicitudes de pago falsas o actualizaciones fraudulentas de reservas.
BWH Hotels también advirtió que los atacantes podrían intentar hacerse pasar por empleados del hotel o representantes de atención al cliente utilizando datos robados de reservas para hacer que las estafas parezcan legítimas. La empresa recomendaba que los clientes accedieran directamente a las páginas web oficiales de los hoteles en lugar de hacer clic en enlaces en correos electrónicos o mensajes.
La industria hotelera se ha convertido en un objetivo frecuente de ciberataques porque los sistemas hoteleros almacenan grandes cantidades de información personal vinculada a reservas, planes de viaje, cuentas de fidelización y actividades de pago. Los sistemas de reservas resultan especialmente atractivos para los atacantes porque a menudo contienen datos detallados de contacto con clientes que pueden ser utilizados posteriormente en operaciones de phishing.