El Thayer Hotel en West Point, un hotel emblemático que sirve a la comunidad de la Academia Militar de los Estados Unidos, ha informado de una violación de datos que comprometió la información personal de más de 33.000 personas. El hotel descubrió la intrusión en septiembre de 2025 y desde entonces ha completado una investigación forense con la ayuda de especialistas en ciberseguridad.
Según las cartas de notificación presentadas ante los reguladores, el hotel detectó acceso no autorizado a su red el 26 de septiembre. La investigación encontró que los atacantes habían obtenido acceso a sistemas que contenían registros de clientes, aunque no confirmó si los datos fueron copiados o eliminados. La violación afectó a aproximadamente 33,053 personas, incluidos huéspedes, empleados y visitantes del hotel.
Los datos comprometidos incluyen nombres vinculados con números de identificación emitidos por el gobierno, como licencias de conducir, pasaportes e identificaciones estatales. En un pequeño número de casos, los números de Seguro Social también fueron expuestos. El hotel dijo que tomó medidas inmediatas para proteger sus sistemas y restablecer las credenciales internas después de que se detectó la intrusión.
Ubicado cerca de la Academia Militar de los EE. UU., el Hotel Thayer alberga con frecuencia a personal militar actual y anterior, funcionarios visitantes y familias de cadetes. La presencia de estos huéspedes genera preocupación de que los datos expuestos puedan usarse para fraude dirigido o phishing. Los expertos en seguridad advierten que información como números de pasaporte y licencia puede ser explotada para el robo de identidad o intentos de ingeniería social.
El hotel dijo que está trabajando en estrecha colaboración con las fuerzas del orden y los consultores de ciberseguridad para fortalecer sus sistemas y prevenir futuros incidentes. A las personas afectadas se les ha ofrecido un año de protección de identidad y servicios de monitoreo de crédito. Sin embargo, los expertos señalan que la exposición de identificadores permanentes, como pasaportes y números de Seguro Social, plantea riesgos continuos que se extienden más allá del período de monitoreo.
Preocupaciones de seguridad a largo plazo para la hospitalidad y los datos vinculados al ejército
La violación del Hotel Thayer subraya la vulnerabilidad de los proveedores de hospitalidad que manejan información confidencial de los huéspedes, particularmente aquellos que sirven a las comunidades gubernamentales y militares. Los ciberdelincuentes a menudo se dirigen a los hoteles porque almacenan datos personales detallados y con frecuencia dependen de sistemas de terceros para las reservas y la facturación.
Los analistas dicen que las redes hoteleras siguen siendo un objetivo atractivo debido al volumen de información personal procesada diariamente y la relativa dificultad de mantener una segmentación estricta entre los servicios al huésped y los sistemas administrativos. En este caso, los atacantes parecen haber explotado las debilidades de la infraestructura interna del hotel en lugar de a través de sus socios de reservas.
Para las personas afectadas por la violación, la amenaza a largo plazo radica en la reutilización de la información robada en otros sistemas. Los documentos de identidad se pueden utilizar para solicitar préstamos fraudulentos, abrir cuentas financieras u eludir procesos de verificación. Los expertos aconsejan a los huéspedes afectados que controlen sus informes crediticios y tengan cuidado con los mensajes u ofertas no solicitados que hagan referencia a su estado militar.
El Thayer Hotel declaró que continúa mejorando su marco de protección de datos e implementando controles de acceso más estrictos. La investigación no ha vinculado la violación a ningún grupo de amenazas conocido. No obstante, el incidente ilustra la creciente presión sobre las organizaciones hoteleras más pequeñas para que adopten estándares de ciberseguridad a nivel empresarial en línea con la sensibilidad de la información que administran.