Redacción Digital Inside España
El Real Decreto 933/2021 obliga a los establecimientos a recopilar hasta 42 datos personales de cada huésped, una medida que entra en vigor justo cuando ocho de cada diez españoles planean viajar este verano y la ocupación hotelera roza el lleno. Esta gran acumulación de información, lejos de reforzar la protección ciudadana, inquieta a los especialistas en seguridad: el sector hotelero ha visto crecer un 70% los ciberataques dirigidos a sus bases de datos, con delincuentes cada vez más interesados en historiales personales que facilitan fraudes financieros, chantajes y compraventa de identidades en la web oscura.
Durante la fase de implantación previa, el Instituto Nacional de Estadística contabilizó más de 102 millones de pernoctaciones en España, pero la nueva herramienta solo permitió identificar a 18.584 personas sometidas a investigación judicial o policial. Durante la fase piloto solo se identificó al 0,018% de viajeros vinculados a investigaciones, mientras el 99,98% cedió datos sensibles sin relación con ilícitos. Para Lazarus Technology, proveedor global de ciberseguridad, este desequilibrio refleja que ampliar el volumen de datos no se traduce necesariamente en mayor eficacia policial, mientras sí incrementa la superficie de exposición de los ciudadanos.
Los riesgos se magnifican en un contexto en el que los fraudes por suplantación de identidad han crecido un 15% en Europa y el 66% de las empresas españolas reconoce un aumento de casos en el último año. Con bases de datos más voluminosas y valiosas, los atacantes encuentran mayores incentivos para robar perfiles completos, combinarlos con otras filtraciones y ejecutar estafas cada vez más sofisticadas.
El DNI digital, otra ventana de exposición
A la proliferación de datos hoteleros se une la reciente implantación del DNI digital, que ya supera las 400.000 descargas y permite portar la identidad oficial en el móvil. La identidad digital en el móvil, con más de 400.000 descargas, hereda la vulnerabilidad del número de teléfono y abre la puerta al SIM swapping: si un atacante duplica la tarjeta SIM, puede acceder al proceso de autenticación y secuestrar la identidad. La campaña estival, con conexiones frecuentes a redes Wi‑Fi poco seguras, multiplica las oportunidades de que estas técnicas prosperen.
La situación se agrava por la ausencia de una campaña institucional que explique de forma clara cómo funciona el nuevo documento y cómo distinguir la aplicación oficial de las imitaciones. Lazarus Technology advierte de que la falta de pedagogía institucional multiplica la eficacia de las aplicaciones fraudulentas, muchas de las cuales circulan en tiendas de apps no verificadas y descargan software malicioso en los dispositivos.
Para la compañía de ciberseguridad, la protección real no reside únicamente en la robustez técnica de las plataformas, sino en la combinación de sistemas seguros: información transparente y control efectivo para el usuario final. Sin una estrategia que integre estos tres elementos (normativa proporcionada, medidas técnicas y educación digital), el incremento de datos sensibles corre el riesgo de convertir la temporada turística en un escenario propicio para el fraude.
