Dos de cada tres sitios web de hoteles filtran inadvertidamente los datos de reserva y datos personales de los huéspedes a sitios de terceros, incluidos anunciantes y compañías de análisis, según un estudio publicado este miércoles por la firma de ciberseguridad Symantec.

El estudio, que examinó más de 1.500 sitios web de hoteles en 54 países que iban desde propiedades de dos estrellas a cinco estrellas, se llevó a cabo meses después de que la cadena Marriott International revelara una de las peores brechas de datos en la historia.

Los hoteles son un blanco fácil para los cibercriminales. Diariamente, millones de personas depositas información personal como nombres, direcciones de correo electrónico, detalles de tarjetas de crédito y números de pasaportes. Según Symantec, todos estos datos de huéspedes fueron comprometidos.

Así mismo, la firma de ciberseguridad aseguró que cada vez los delincuentes están más interesados ??en los movimientos de profesionales de negocios influyentes y empleados gubernamentales.

"Si bien no es un secreto que los anunciantes están rastreando los hábitos de navegación de los usuarios, en este caso, la información compartida podría permitir a estos servicios de terceros iniciar sesión en una reserva, ver datos personales e incluso cancelar la reserva por completo", dijo Candid Wueest, Investigador principal del estudio.

La investigación mostró que los compromisos generalmente ocurren cuando el sitio de un hotel envía correos electrónicos de confirmación con un enlace que tiene información de reserva directa. El código de referencia adjunto al enlace podría compartirse con más de 30 proveedores de servicios diferentes, incluidas redes sociales, motores de búsqueda y servicios de publicidad y análisis.

Wueest dijo que el 25 por ciento de los oficiales de privacidad de datos en los sitios de hoteles afectados no respondieron a Symantec dentro de las seis semanas cuando se les notificó el problema, y ??los que lo hicieron tardaron un promedio de 10 días en responder.

"Algunos admitieron que aún están actualizando sus sistemas para que sean totalmente compatibles con GDPR", dijo Wueest, refiriéndose a la nueva ley de privacidad de Europa, o al Reglamento General de Protección de Datos, que entró en vigencia hace aproximadamente un año y tiene pautas estrictas sobre cómo deben las organizaciones lidiar con la fuga de datos.