Un ciberataque masivo ha comprometido la seguridad de miles de turistas que visitaron Cancún, Quintana Roo, en los últimos años. Más de 24,000 reservas de hotel se han visto afectadas, exponiendo información personal, bancaria y transaccional de los huéspedes.
La filtración, ahora disponible en la dark web, representa un grave riesgo, ya que los ciberdelincuentes podrían utilizar estos datos para fraudes financieros, suplantación de identidad y ataques de phishing. El ataque fue atribuido al ransomware SafePay, que logró vulnerar los sistemas de una de las principales cadenas hoteleras de Cancún, Haven Resorts.
Entre la información filtrada se encuentran nombres completos, correos electrónicos, teléfonos, direcciones, itinerarios de viaje y detalles parciales de tarjetas de crédito, aumentando el peligro de robo de identidad y fraudes bancarios.
Publicación de SafePay en su sitio de la dark web. (Fuente: Publimetro México)
Un Ataque Expuesto en la Dark Web
El ciberataque fue detectado por los equipos de ThreatMon Ransomware Monitoring y Ransomware.live, dos plataformas especializadas en rastrear la actividad de grupos de ransomware en la dark web. Según sus reportes, la cadena hotelera Haven Resorts fue listada como víctima del ransomware SafePay, lo que indicaba que la empresa no había pagado el rescate exigido por los atacantes.
Posteriormente, se confirmó que la filtración había expuesto una gran cantidad de información sensible, poniendo en riesgo tanto a los huéspedes como a los empleados del hotel.
Podría interesarte leer: ¡Alerta!: Hackers Venden Acceso Total a Redes de Gasolineras en México
Reservas filtradas y riesgo de fraudes bancarios
La filtración de datos es más preocupante de lo que parece. Entre los archivos comprometidos se encontraron registros de reservas de turistas que visitaron Cancún entre 2022 y 2025, principalmente en hoteles de lujo. Estos archivos incluyen información como fechas de llegada y salida, tarifas pagadas, tipos de habitación reservada y métodos de pago, lo que deja expuestos muchos detalles personales.
Pero lo más alarmante es que también se detectaron fragmentos de información de tarjetas de crédito, lo que abre la puerta a fraudes financieros. Con estos datos, los delincuentes podrían llevar a cabo ataques de phishing bancario, haciéndose pasar por el banco o la agencia de viajes para engañar a los afectados y obtener información completa de sus tarjetas o incluso autorizar cargos fraudulentos.
La combinación de nombres, correos electrónicos y datos financieros convierte a las víctimas en un blanco fácil para este tipo de estafas.
Entre las empresas afectadas se encuentran reconocidas agencias de viaje como Despegar.com, Agoda Company, Expedia y OTS Open, además de otros intermediarios que gestionan pagos y reservas en el Caribe mexicano.
Publicación de Ransomware.live sobre el ataque de SafePay a Haven Resorts. Imagen: Ransomware.live
El ataque no solo dejó al descubierto datos de turistas, sino que también sacó a la luz información interna del hotel que va mucho más allá de las reservas. Entre los archivos filtrados se encontraron contratos de trabajo con información personal de empleados, como CURP, RFC, direcciones, estado civil y números de contacto.
Pero eso no es todo. También se expusieron facturas, pagos bancarios y cobros a agencias de viaje, incluyendo copias escaneadas de documentos financieros correspondientes a los años 2023 a 2025. Además, en la filtración aparecen pólizas de seguro, registros administrativos y permisos gubernamentales relacionados con la operación del hotel.
Algunos documentos incluso detallan montos y transacciones realizadas con empresas turísticas y operadores de tours. También se encontraron contratos de terminación laboral, en los que se menciona la obtención de la “carta renuncia” de empleados, en lugar de referirse directamente a despidos, lo que podría generar problemas legales en temas laborales.
Conoce más sobre: Ataque ClickFix Distribuye RAT en Correos Falsos de Booking.com
¿Está toda esta información en la dark web?
Por ahora, se sabe que gran parte de estos datos están publicados en foros clandestinos de la dark web, pero no está claro si los atacantes aún conservan información encriptada como parte de su estrategia para presionar a la empresa a pagar un rescate.
Sin embargo, la muestra analizada ya revela que la filtración es grave: se estima que son más de 90 GB de información comprometida. Además, se destaca que Haven Resorts tendría ingresos anuales cercanos a los 39.6 millones de dólares, lo que sugiere que el ataque pudo haber sido parte de una estrategia de extorsión o para vender datos valiosos.
Los expertos advierten que esta información (que incluye detalles como hábitos de compra, destinos frecuentes, acompañantes, medios de transporte, así como hoteles y restaurantes preferidos) puede ser utilizada por ciberdelincuentes para diseñar ataques de phishing altamente personalizados y sofisticados.
