Aunque los hoteles brasileños son el
principal objetivo de la nueva campaña, la actividad también se ha extendido a
Argentina, Bolivia, Chile, Costa Rica, México y España.

Si te has alojado recientemente en un
hotel de Latinoamérica y España, es posible que los datos de tu tarjeta de
crédito estén en riesgo. Entre junio y agosto de 2025, el Equipo Global de
Investigación y Análisis de Kaspersky (GReAT) descubrió una nueva ola de
ciberataques realizados por un grupo de amenazas llamado RevengeHotels, que
apunta a hoteles para robar informaciones de tarjetas de crédito de los
huéspedes. El grupo, activo desde 2015, ha pasado los últimos años sin
presentar ninguna novedad, hasta ahora que los expertos de GREAT identificaron
una campaña que marca la reaparición del grupo con una mejora de sus métodos,
como el uso de Inteligencia Artificial para que los ataques sean más efectivos
y así, puedan expandirlos a otras regiones.

Aunque los hoteles brasileños son el
principal objetivo de la nueva campaña, la actividad también se ha extendido a
países hispanohablantes como Argentina, Bolivia, Chile, Costa Rica, México y
España. A comienzos de este año se observó otra campaña del mismo actor
dirigida a usuarios en Rusia, Bielorrusia, Turquía, Malasia, Italia y Egipto.

El actor de amenazas utiliza correos
de phishing disfrazados de pedidos de reservación, solicitando a los
destinatarios que revisen los documentos adjuntos. El enlace incluido en los
documentos engaña al usuario para instalar un Troyano de Acceso Remoto (RAT)
que permite emitir comandos para controlar los sistemas comprometidos y robar
información sensible. Estos mensajes suelen enviarse a direcciones de correo
asociadas a reservas de hotel. En algunos casos recientes, se ha observado el
uso de falsas solicitudes de empleo, en las que los atacantes envían
currículums para intentar explotar posibles ofertas de empleo en los hoteles
objetivo. Para realizar la infección, los atacantes se apoyan en servicios de
alojamiento legítimos, a menudo registrando dominios con temática portuguesa.

Cuando un empleado abre estos correos,
se instala un malware llamado VenomRAT en los sistemas del hotel, dando a los
atacantes acceso a los datos de pago de los huéspedes y otra información
sensible. VenomRAT se distribuye en recursos de la dark web, con licencias de
por vida que pueden alcanzar los 650 dólares. Los correos suelen ser
convincentes y, de acuerdo con el análisis
de los expertos de Kaspersky, la muestra que muchos de los infectores iniciales
recién creados por RevengeHotels incluyen código probablemente generado mediante IA.

“Los ciberdelincuentes están usando
cada vez más la IA para crear nuevas herramientas y hacer que sus ataques sean
más efectivos. Esto hace que incluso los métodos conocidos, como los correos de
phishing, sean más difíciles de detectar para usuarios comunes. Para los
huéspedes de hoteles, esto significa un mayor riesgo de robo de datos de
tarjetas y otra información personal, que se venderán en la dark web”, comenta
Lisandro Ubiedo, analista senior de seguridad en Kaspersky.

https://ift.tt/2lVtTgn