El almacenamiento en la nube de una empresa de tecnología que gestiona sistemas de check-in hotelero estuvo configurado como público, permitiendo que cualquier persona con un navegador accediera a más de un millón de pasaportes y permisos de conducir de clientes sin contraseña ni autenticación. Lo publica Zack Whittaker en TechCrunch el 15 de mayo de 2026. La exposición no requería ningún conocimiento técnico especial: cualquiera que hubiera encontrado la URL del servidor podía ver y descargar los documentos de identidad directamente, en texto claro y sin cifrar. El patrón es inquietantemente familiar: una empresa que recopila documentos de identidad para cumplir con la normativa hotelera lo hace correctamente, y luego los deja en un servidor abierto al mundo. No es el primer caso del sector. No será el último.
¿Cómo es posible dejar un millón de pasaportes en un servidor público?
El error técnico es conocido, y tan básico que resulta difícil de justificar en 2026: un bucket de almacenamiento en la nube —probablemente Amazon S3 u equivalente— configurado con permisos de acceso público en lugar de privado. Por defecto, estas plataformas crean los buckets en modo privado. Eso significa que alguien tuvo que cambiar activamente la configuración, o cometerla desde el principio sin que nadie la revisara después.
La empresa que mantiene el sistema de check-in —cuyo nombre no se ha publicado en el momento de redactar este artículo, siguiendo la práctica habitual de Whittaker de notificar a la empresa antes de publicar y esperar respuesta— almacenaba los datos de identificación de los huéspedes para cumplir con la normativa hotelera vigente en muchos países. En España, por ejemplo, los establecimientos están obligados por ley a registrar los datos de identificación de sus clientes y ponerlos a disposición de las autoridades en caso de investigación. El volumen de un millón de documentos indica que la exposición no fue puntual: el bucket llevaba tiempo activo y acumulando datos sin que nadie auditara los permisos de acceso.
La analogía es sencilla: es como construir una caja fuerte para guardar los pasaportes de los clientes e instalarla sin puerta. Como ya vimos con la exposición de la base de datos de DeepSeek con millones de registros en 2025, este tipo de errores de configuración básica afecta a empresas de todos los tamaños con una frecuencia que debería avergonzar al sector.
¿Por qué los datos de viajeros son especialmente valiosos para los atacantes?
Un pasaporte no es una contraseña. No se puede cambiar. Tiene una vigencia de entre 5 y 10 años según el país. Contiene foto, nombre completo, fecha de nacimiento, nacionalidad, número de documento y una zona de lectura mecánica que puede escanearse por OCR. Combinado con un permiso de conducir, que añade dirección y otros datos personales, el conjunto es prácticamente completo para suplantar la identidad de alguien.
El sector de viajes lleva meses encadenando filtraciones de este tipo. En enero de 2026, Eurail confirmó el robo de números de pasaporte y copias de documentos de identidad de viajeros. En abril, Booking.com confirmó acceso no autorizado a datos de clientes. También en abril y mayo de 2026, Best Western Hotels (BWH) descubrió que atacantes habían tenido acceso a su sistema de reservas durante más de seis meses, entre octubre de 2025 y abril de 2026, con más de 53 millones de miembros en su programa de fidelización potencialmente expuestos. Y ya en 2025, la investigación de Cybernews sobre Chekin y Gastrodat reveló que plataformas de check-in automatizadas dejaron expuestos los datos de 400.000 reservas en 170 propiedades.
La industria hotelera almacena enormes volúmenes de datos de identidad por requerimiento legal, opera con cadenas de suministro tecnológicas complejas y frecuentemente externaliza los sistemas de registro a proveedores que no tienen los mismos estándares de seguridad que una gran cadena. El resultado es una superficie de ataque distribuida. Las predicciones de ciberseguridad para 2025 ya señalaban el robo de identidad como una de las grandes amenazas del año, especialmente a través de listas combinadas de datos de distintas filtraciones.
¿Qué deben hacer hoteles y proveedores tecnológicos para evitar esto?
El problema es estructural antes que técnico. Los hoteles están obligados por ley a recopilar datos de identidad, pero la normativa sobre cómo proteger esos datos una vez recopilados es mucho menos prescriptiva en muchos países. El resultado es la asimetría clásica: la obligación de recoger es clara; la obligación de proteger, difusa.
Las buenas prácticas son conocidas y no son costosas: nunca dejar buckets con configuración pública, cifrar los documentos en reposo y en tránsito, establecer una política de retención que elimine los datos una vez que el huésped ha salido del hotel, y auditar regularmente los permisos de acceso. También importa el principio de minimización: si la ley obliga a registrar el número del pasaporte, no es necesario almacenar una foto completa del documento.
El impacto económico para la empresa responsable puede ser considerable. En la UE, el RGPD prevé sanciones de hasta el 4% del volumen de negocio anual global o 20 millones de euros, la cifra que resulte mayor. En la práctica, las multas reales suelen ser más bajas, pero la tendencia regulatoria en Europa apunta a mayor rigor. España ya multó en el pasado a un hotel con 30.000 euros por un incumplimiento del RGPD relacionado con el tratamiento de pasaportes escaneados. Que España registró más de 22 millones de ciberamenazas en el último trimestre de 2025 es un recordatorio de que este problema no es abstracto ni lejano.
Mi valoración
Lo que más me convence del análisis es la causa raíz: este incidente no es un ataque sofisticado ni una vulnerabilidad de día cero. Es un bucket de almacenamiento configurado como público. En 2026, después de incontables incidentes idénticos, que esto siga ocurriendo no es mala suerte. Es la ausencia de procesos básicos de auditoría de seguridad.
Lo que más me preocupa es la escala. Un millón de documentos no se acumula de la noche a la mañana; implica que el sistema llevaba tiempo activo y creciendo sin que nadie revisara los permisos. Eso habla de una cultura de seguridad que simplemente no existe en esa empresa. Y en el sector hotelero, donde los proveedores tecnológicos son pequeñas y medianas empresas que gestionan datos de grandes cadenas, ese es el modelo habitual.
Lo más estructuralmente significativo es la pregunta que este caso no responde: ¿alguien accedió antes de que se detectara? La empresa tecnológica afectada, según la información disponible, no puede confirmar si tiene logs para determinarlo. Eso es casi peor que la exposición en sí: no saber si los datos ya están en circulación. Mi predicción: la Agencia Española de Protección de Datos y las autoridades de otros países de la UE abrirán investigaciones formales antes de finales de junio si se confirma que el sistema prestaba servicio en territorio europeo.
Preguntas frecuentes
¿Qué hacer si viajé a un hotel y temo que mis datos estén comprometidos?
Si sospechas que tu pasaporte o permiso de conducir pueden haber estado expuestos, activa alertas de fraude con tu banco, monitoriza tus cuentas bancarias y tarjetas para detectar operaciones no autorizadas y estate alerta ante comunicaciones inesperadas que usen tus datos personales. En España, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es. Si la empresa afectada comunica el incidente oficialmente, sigue sus instrucciones.
¿Por qué los hoteles almacenan pasaportes digitalmente y no solo anotan el número?
En muchos países, la ley obliga a los establecimientos hoteleros a registrar los datos completos de identificación de sus huéspedes —incluyendo en algunos casos una copia del documento— y a mantenerlos disponibles para las autoridades en caso de requerimiento judicial o policial. La digitalización de ese proceso ha creado una nueva capa de riesgo: en lugar de un fichero físico en recepción, los datos se acumulan en sistemas digitales gestionados por proveedores externos que no siempre cuentan con los mismos estándares de seguridad que la cadena hotelera.
¿Qué multas puede recibir la empresa tecnológica responsable?
El RGPD prevé sanciones de hasta el 4% del volumen de negocio anual global de la empresa infractora o 20 millones de euros, según cuál resulte mayor. Para un proveedor tecnológico de tamaño medio, esa cifra puede ser fatal. En la práctica, las sanciones reales son frecuentemente menores, pero la tendencia en la UE es hacia multas más estrictas en casos de negligencia clara. A esto se suma la responsabilidad civil frente a los afectados, que en algunos países pueden demandar individualmente o de forma colectiva.