Alerta a viajeros: ataques con IA dirigidos a huéspedes de hoteles en Latinoamérica y España

 Aunque los hoteles brasileños son el principal objetivo de la nueva campaña, la actividad también se ha extendido a Argentina, Bolivia, Chile, Costa Rica, México y España.

Si te has alojado recientemente en un hotel de Latinoamérica y España, es posible que los datos de tu tarjeta de crédito estén en riesgo. Entre junio y agosto de 2025, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) descubrió una nueva ola de ciberataques realizados por un grupo de amenazas llamado RevengeHotels, que apunta a hoteles para robar informaciones de tarjetas de crédito de los huéspedes. El grupo, activo desde 2015, ha pasado los últimos años sin presentar ninguna novedad, hasta ahora que los expertos de GREAT identificaron una campaña que marca la reaparición del grupo con una mejora de sus métodos, como el uso de Inteligencia Artificial para que los ataques sean más efectivos y así, puedan expandirlos a otras regiones.

Aunque los hoteles brasileños son el principal objetivo de la nueva campaña, la actividad también se ha extendido a países hispanohablantes como Argentina, Bolivia, Chile, Costa Rica, México y España. A comienzos de este año se observó otra campaña del mismo actor dirigida a usuarios en Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto.

El actor de amenazas utiliza correos de phishing disfrazados de pedidos de reservación, solicitando a los destinatarios que revisen los documentos adjuntos. El enlace incluido en los documentos engaña al usuario para instalar un Troyano de Acceso Remoto (RAT) que permite emitir comandos para controlar los sistemas comprometidos y robar información sensible. Estos mensajes suelen enviarse a direcciones de correo asociadas a reservas de hotel. En algunos casos recientes, se ha observado el uso de falsas solicitudes de empleo, en las que los atacantes envían currículums para intentar explotar posibles ofertas de empleo en los hoteles objetivo. Para realizar la infección, los atacantes se apoyan en servicios de alojamiento legítimos, a menudo registrando dominios con temática portuguesa.

Cuando un empleado abre estos correos, se instala un malware llamado VenomRAT en los sistemas del hotel, dando a los atacantes acceso a los datos de pago de los huéspedes y otra información sensible. VenomRAT se distribuye en recursos de la dark web, con licencias de por vida que pueden alcanzar los 650 dólares. Los correos suelen ser convincentes y, de acuerdo con el análisis de los expertos de Kaspersky, la muestra que muchos de los infectores iniciales recién creados por RevengeHotels incluyen código probablemente generado mediante IA.

“Los ciberdelincuentes están usando cada vez más la IA para crear nuevas herramientas y hacer que sus ataques sean más efectivos. Esto hace que incluso los métodos conocidos, como los correos de phishing, sean más difíciles de detectar para usuarios comunes. Para los huéspedes de hoteles, esto significa un mayor riesgo de robo de datos de tarjetas y otra información personal, que se venderán en la dark web”, comenta Lisandro Ubiedo, analista senior de seguridad en Kaspersky.