Viajes

Hoteles: lo que puede comprometerse en 4 horas

Los vectores reales de compromisión en hotel: Wi-Fi, cajas fuertes, cerraduras, personal, habitación dejada sola.

Publicado el 20 de noviembre de 2025 17 min de lectura Exposed

Última revisión: 30 de enero de 2026

Un alto directivo deja su portátil en la caja fuerte de su habitación, en Pekín, y se va a una reunión. Seis horas. Al regreso, todo está en su sitio: la máquina está exactamente donde la dejó, la pantalla de bloqueo le espera, la caja fuerte está cerrada. Duerme tranquilo. Tres semanas después, el competidor que negociaba el mismo activo saca de la nada una oferta ajustada al millón sobre el modelo financiero que dormía en ese disco. Nadie podrá nunca demostrar el vínculo. Es exactamente el problema: la compromisión de una habitación de hotel no deja rastro, y es por eso que se sigue creyendo que no ocurre.

Angle de lecture

Particulier RSSI / DSI

La trampa habitual

«El hotel es seguro, he puesto el portátil en la caja fuerte.» Lo oigo en cada auditoría de desplazamiento, en boca de gente inteligente y por lo demás prudente. La frase reposa sobre una confusión entre dos amenazas que no tienen nada que ver: el robo oportunista —un cliente que se ha equivocado de planta, un equipo de limpieza que sustrae un reloj— y el acceso malicioso organizado, es decir, un adversario que quiere precisamente lo que hay en su dispositivo y que dispone de un acceso legítimo a la estancia. Contra el primero, la caja fuerte es una barrera razonable. Contra el segundo, es una hoja de papel en la que se ha escrito «privado».

La segunda trampa es cultural. Hemos interiorizado el hotel como una prolongación del domicilio: un lugar privado, cerrado con llave, donde se baja la guardia. Es lo contrario. Una habitación de hotel es un espacio del que usted no controla ni los muros, ni la cerradura, ni la red, ni los equipos, y al que un número sorprendente de personas tienen un acceso perfectamente legal. El personal de planta, el mantenimiento, la seguridad del establecimiento, la dirección, y en ciertas jurisdicciones los servicios del Estado a simple solicitud. Usted no está en su casa. Es arrendatario de un volumen compartido, gestionado por un tercero cuyos intereses no son los suyos.

La tercera trampa es creer que la amenaza se resume en «que me pirateen el Wi-Fi». El Wi-Fi es el vector más conocido y el más fácil de cerrar —un VPN y una eSIM, asunto resuelto—. Los vectores que hacen daño son físicos: la cerradura de la puerta, la caja fuerte, el acceso en su ausencia, los equipos de la habitación. Son también aquellos de los que nadie habla, porque son invisibles y porque contradicen la idea tranquilizadora de que se controla algo. Este artículo invierte la jerarquía: empezamos por lo que cuenta, no por lo que se cuenta.

El modelo de amenaza real: lo que puede caer en cuatro horas

Cuatro horas es la duración de una reunión. Es también, de sobra, el tiempo que necesita alguien preparado para hacer lo que sigue en una habitación vacía. Enumeremos los vectores en orden de su impacto real, no de su notoriedad.

La cerradura de la puerta no es el obstáculo que se imagina. En 2024, la investigación bautizada Unsaflok —perdón, reformulo: el equipo Unsaflok publicó una cadena de fallos que afectan a las cerraduras RFID Saflok del fabricante dormakaba, desplegadas en más de tres millones de puertas en unos 13 000 establecimientos repartidos en 166 países—. Con una sola tarjeta del hotel —incluida una tarjeta caducada, recogida de una papelera o conseguida en recepción— y un lector-codificador de unas pocas decenas de euros, un atacante forja en unos segundos una tarjeta maestra que abre cualquier puerta del establecimiento. La corrección supone una actualización de cada cerradura y a menudo un cambio del sistema de codificación; en 2025, una parte del parque mundial seguía sin corregir. Retenga el principio, no solo el nombre: una cerradura de hotel es un producto de comodidad concebido para la conveniencia operativa del hotelero, no para resistir a un adversario motivado.

La caja fuerte de la habitación es un teatro. Los modelos instalados en las habitaciones —Saflok, Ilco, Phoenix y similares— comparten características que los descalifican para proteger datos. Primero, existe un código maestro de reinicio, suministrado por el fabricante para reabrir la caja fuerte cuando un cliente olvida su código; ese código es a menudo idéntico para todo un modelo, documentado en los foros de cerrajeros y en las charlas de conferencias de seguridad, y conocido por el personal. Después, muchos modelos de gama baja aceptan un código por defecto nunca cambiado (000000, 999999, 123456) que nunca fue reconfigurado en la instalación. Por último, la propia carcasa se fuerza mecánicamente en unos minutos en numerosos modelos. La caja fuerte detiene al cliente distraído y a la camarera honrada. No detiene a nadie que quiera entrar.

El acceso en su ausencia es la regla, no la excepción. Una habitación se limpia, se reabastece, se mantiene. Personal entra en ella legalmente cada día, a veces varias veces. En ese intervalo, el ataque llamado evil maid —formalizado por Joanna Rutkowska ya en 2009— se vuelve trivial: basta un acceso físico breve a un dispositivo sin vigilancia. Si el disco no está cifrado, se clona íntegramente en quince a cuarenta y cinco minutos con un kit que cabe en un bolsillo. Si la máquina está en suspensión en lugar de apagada, la clave de cifrado está en memoria y el ataque sobre disco cifrado vuelve a ser posible. Al regreso, nada se ha movido. Es la definición misma de una compromisión lograda: invisible.

El resto de la habitación también es hostil. La red Wi-Fi del hotel es una red compartida entre cientos de desconocidos, a menudo gestionada por un proveedor «hospitality» cuyos estándares de seguridad no valen los de una red de empresa, con una segmentación entre habitaciones ausente o chapucera —un terreno ideal para un MITM—. El televisor conectado es un micrófono y una cámara cuya configuración usted no controla. Los puestos de carga USB, los puertos HDMI de las pantallas de sala de reunión, la impresora del centro de negocios que conserva en memoria los últimos documentos: otras tantas superficies que usted no ha auditado y que nunca auditará.

Pongamos duraciones a estos vectores, porque es la única manera de calibrar correctamente el riesgo. Forjar una tarjeta maestra en un parque Saflok vulnerable: unos segundos una vez el material en mano. Abrir una caja fuerte de habitación por código maestro o código por defecto: de uno a tres minutos; forzarla mecánicamente: cinco a diez. Clonar un disco no cifrado o despertar una máquina en suspensión para extraer las claves: quince a cuarenta y cinco minutos. Implantar un dispositivo de escucha discreto o reconfigurar un televisor conectado: menos de cinco minutos para alguien equipado. Sume: la totalidad del escenario —entrar, abrir, copiar, marcharse sin dejar rastro— cabe en la ventana de una reunión de trabajo. Cuatro horas no es un plazo ajustado para el atacante. Es cómodo.

Una precisión que lo cambia todo: ninguno de estos vectores supone un servicio de inteligencia del Estado. El competidor que quiere su modelo financiero, el despacho adverso que quiere sus conclusiones, el investigador privado contratado para un caso de divorcio o de litigio comercial —todos tienen acceso al mismo material por unas decenas de euros y a las mismas técnicas documentadas públicamente—. La barrera de entrada ha caído. Lo que antaño exigía un saber hacer raro se encarga hoy en línea y se aprende en vídeos de conferencias. Es precisamente por eso que la seguridad hotelera, durante mucho tiempo reservada a los perfiles «sensibles», concierne ahora a cualquier directivo portador de una información que vale dinero para alguien.

Anécdota operativa

Una prueba real, por encargo de un cliente, en un cuatro estrellas de una capital del Sudeste Asiático. Encargo: reproducir lo que haría un competidor. Conseguimos una tarjeta de acceso caducada de una habitación vecina, liberada esa misma mañana, simplemente pidiéndola «para recuperar un objeto olvidado». En la caja fuerte de la habitación objetivo, el código maestro por defecto del modelo, encontrado en línea en dos minutos, abrió la carcasa a la primera. Dentro, un portátil en suspensión. No copiamos nada —no era el perímetro— pero el cronómetro se detuvo en once minutos entre la entrada en el pasillo y la caja fuerte abierta. El cliente pensaba que su principal debilidad era el Wi-Fi. Era la cerradura, la caja fuerte, y la idea de que una puerta cerrada significa algo.

El buen enfoque: suponer el acceso, reducir lo que hay que llevarse

El cambio mental cabe en una frase: no se asegura una habitación de hotel, se reduce lo que una habitación comprometida puede entregar. Usted no tiene ningún medio fiable de garantizar que nadie entrará, ni de saber si alguien ha entrado. Parta, pues, de la hipótesis inversa —el acceso ha tenido lugar— y organícese para que ese acceso no dé nada explotable. Es exactamente la lógica del modelo de amenaza: no se combate al atacante en su terreno (la puerta, la caja fuerte), se traslada el combate al suyo (lo que contiene el dispositivo y cómo se comunica).

En concreto, esto se traduce en tres principios. Primer principio: lo que no está en la habitación no puede ser tomado en la habitación. El dispositivo que usted lleva solo debe contener lo que la misión necesita, y nada de la memoria operativa de la organización. Sincronización bajo demanda en lugar de copia local completa, carpeta «Descargas» vaciada, historiales de mensajería purgados. Un portátil que no contiene nada sensible transforma una clonación lograda en un no evento. Es la palanca más potente, y la más barata: no requiere ningún material, solo disciplina antes de la salida.

Segundo principio: el dispositivo dejado es un dispositivo apagado y cifrado, nunca en suspensión. El ataque sobre disco cifrado no funciona contra una máquina apagada cuyo cifrado integral está activo, porque la clave no está en ninguna parte de la memoria. Usted sale de la habitación, apaga —de verdad, no «cerrar la tapa»—. El cable antirrobo no detiene a un profesional con diez minutos, pero elimina el acceso oportunista y señala que usted no es un objetivo fácil, lo que basta para reorientar a un atacante hacia la habitación de al lado. Para los desplazamientos con un envite real, el dispositivo no se queda en la habitación: le acompaña.

Tercer principio: el canal de comunicación nunca pasa por el hotel para lo que cuenta. El Wi-Fi del establecimiento se reserva a los usos exponibles sin consecuencia —leer la prensa, ver una película—. Todo lo que toca a los sistemas de la empresa pasa por una eSIM local o el uso compartido de la conexión del teléfono, con un VPN activado antes de tocar la menor red. El reflejo que hay que invertir es el del «me conecto primero, lanzo el VPN después»: entre los dos, su tráfico en claro ya ha transitado por la red del hotel, y es precisamente el momento que un MITM espera. El orden correcto es inviolable: VPN primero, red después.

Estos tres principios tienen una virtud común: no dependen de la calidad del hotel. Un palacio de cinco estrellas con una seguridad física impecable y un establecimiento de cadena sin personal nocturno plantean el mismo problema de fondo, porque el problema no es el nivel de gama sino la naturaleza de la relación. Usted es arrendatario temporal de un espacio gestionado por un tercero, punto. Dejar de evaluar el riesgo según el estatus del establecimiento —«es un buen hotel, no pasará nada»— es la mitad del camino. La otra mitad es aceptar que estos gestos se vuelvan una rutina y no una decisión que retomar en cada viaje. La seguridad que depende de un arbitraje repetido acaba siempre cediendo al cansancio; la que se ha vuelto un automatismo aguanta.

Las conversaciones y las salas de reunión

El aspecto más descuidado de la seguridad hotelera no es el dispositivo, es lo que sale de su boca. En país occidental, para un perfil no específicamente seleccionado, el riesgo de micrófono en una habitación es bajo —no nulo, pero no la amenaza prioritaria—. En jurisdicción de interceptación madura, es otra historia: las habitaciones y suites frecuentadas por delegaciones de negocios extranjeras son objetivos de interés conocidos, y existen casos documentados de captación. El coste de una conversación sensible mal ubicada es asimétrico: lo que usted dice en voz alta no se cifra, no se respalda, no se recupera.

El televisor conectado merece una mención particular, porque está en todas las habitaciones y nadie lo mira como una amenaza. Los fabricantes de smart TV tienen antecedentes documentados de captación de audio —el caso Samsung de 2015, en el que la política de privacidad advertía literalmente de no mantener una conversación sensible delante del televisor, no es más que el más célebre—. En una habitación de hotel, usted no tiene ningún control sobre el firmware, la configuración o las eventuales modificaciones del dispositivo. El reflejo mínimo: desenchufar físicamente el televisor cuando trabaja sobre un tema sensible, o como mínimo considerarlo un micrófono potencial.

Las salas de reunión de hotel concentran los dos riesgos. Los sistemas audiovisuales integrados —micrófonos de mesa, videoconferencia— son gestionados por el personal o por un proveedor, y en un contexto de riesgo pueden estar configurados para una captación discreta sin que usted pueda detectarla. El material de presentación es igual de traicionero: conectar su portátil al puerto HDMI de una pantalla de sala es conectarlo a una cadena de confianza que usted no ha auditado, y se han observado adaptadores HDMI modificados capaces de exfiltrar datos en contextos de espionaje económico selectivo. La regla para una reunión que cuenta: presente desde su propia pantalla, compartida en su propio punto de acceso, sin conectar nada a los sistemas de la sala. Para los intercambios verdaderamente confidenciales, salga —una terraza de café, un parque, un trayecto a pie—. Un espacio público abierto ofrece mejores condiciones de protección que una sala cerrada de la que usted no controla ningún equipo, porque el ruido ambiente y la imprevisibilidad del lugar complican la captación selectiva.

Lo que esto implica en la práctica

Para usted, como particular

Tres gestos, aplicables desde el próximo desplazamiento, por debajo de los 200 euros en total.

Apague el dispositivo, no lo ponga en suspensión —y olvide la caja fuerte—. Antes de salir de la habitación, apagado completo del portátil cuyo disco está cifrado (FileVault, BitLocker o LUKS, a verificar, no a suponer). La caja fuerte no protege nada que valga la pena proteger: si un dato es verdaderamente sensible, no debe estar en la habitación en absoluto. Idealmente, el dispositivo le acompaña. Si no, cable antirrobo y máquina apagada. Coste: 0 a 25 euros por un cable.
Wi-Fi del hotel prohibido para todo lo que cuenta, eSIM + VPN para el resto. Compre una eSIM local (Airalo, Holafly, o la oferta internacional de su operador) y active su VPN antes de conectarse a lo que sea. El Wi-Fi del establecimiento solo sirve para usos que usted aceptaría ver publicados. Coste: 5 a 30 euros por la eSIM, el VPN a menudo ya está incluido en sus suscripciones.
Desconecte las cuentas, deslice sus tarjetas en una funda anti-RFID. Desconecte del dispositivo de viaje las cuentas en la nube que no vaya a usar (fotos de familia, correo secundario, carpetas profesionales inútiles). Una funda o una cartera anti-RFID (15 a 30 euros) protege sus tarjetas bancarias y su pasaporte biométrico de una lectura a distancia en un vestíbulo concurrido —y de paso, nunca deje a la vista su tarjeta de acceso a la habitación, se clona en dos segundos—.

Para usted, CISO / Dirección de TI / directivo

La seguridad hotelera es estructuralmente débil, y la vulnerabilidad Unsaflok de 2024 lo demostró a escala de millones de puertas. No es una anécdota de conferencia: es la confirmación de que usted no puede externalizar la confianza hacia el hotelero. Su política de viaje debe codificarlo explícitamente.

1. La política de viaje debe tratar el hotel como un entorno no fiable por defecto. Mientras la habitación se considere implícitamente «segura», sus colaboradores dejarán material en ella y mantendrán conversaciones sensibles. La regla debe estar escrita: ningún dispositivo que contenga datos críticos se queda sin vigilancia, ninguna reunión confidencial en una habitación en jurisdicción de riesgo. Consecuencia directa: usted inscribe el hotel en el perímetro de su ISO 27001 al mismo nivel que el puesto de trabajo, con medidas auditables por nivel de país.

2. El clean desk se aplica también en desplazamiento, y es técnicamente verificable con antelación. Un dispositivo de viaje que solo contiene lo estrictamente necesario transforma una clonación en un no evento. Eso supone una sincronización bajo demanda, historiales de mensajería acotados, y un puesto de viaje aprovisionado. Consecuencia directa: para los desplazamientos de nivel elevado, usted proporciona una imagen de viaje dedicada en lugar de la máquina de producción, y abre un ticket de respuesta a incidentes de regreso antes incluso de la salida.

3. El disparo de la medida debe ser automático, no dejado a la vigilancia individual. Nadie consulta espontáneamente el procedimiento antes de reservar. La señal debe partir de la reserva o de la nota de gastos y alertar al departamento de TI para los destinos sensibles. Consecuencia directa: usted conecta un disparador a la herramienta de reserva corporativa, con una alerta hacia el SOC en cuanto se detecte un destino de interceptación madura, y un briefing obligatorio antes de la salida.

Errores que se ven todo el tiempo

Dejar el portátil en suspensión en la caja fuerte. Cúmulo de dos ilusiones: la caja fuerte se abre en unos minutos, y la suspensión deja la clave de cifrado explotable. Una máquina apagada en la mochila que usted lleva vale más que una máquina en suspensión en la mejor caja fuerte del mundo.
Creer que la puerta cerrada garantiza la intimidad. La cerradura RFID es un producto de comodidad, no un dispositivo de seguridad. Unsaflok lo demostró en millones de puertas. Usted nunca sabrá si alguien ha entrado.
Mantener una conversación confidencial en la habitación en país de riesgo. El televisor conectado, los equipos integrados, y a veces los muros no están de su lado. Las discusiones sensibles se mantienen fuera, en un espacio público no aislado donde las condiciones de escucha son desfavorables.
Conectar su portátil al puerto HDMI de la sala de reunión «solo para la presentación». Usted conecta a una cadena de confianza que no controla. Presente desde su propia pantalla, compartida en su propio punto de acceso.
Usar el Wi-Fi del hotel para acceder a los sistemas de empresa. Red compartida, proveedor opaco, segmentación dudosa: es un Wi-Fi público con un logo más elegante. eSIM y VPN, sin excepción, para todo lo profesional.
Imprimir un documento sensible en el material del hotel. Las impresoras y fotocopiadoras conservan en memoria los últimos archivos, a menudo en claro. En un establecimiento frecuentado por delegaciones de negocios, esa memoria es una mina para quien tiene acceso.

Checklist accionable

N1 Apagar completamente el portátil al salir de la habitación (nunca en suspensión)
N1 No dejar nada sensible en la caja fuerte — no es segura
N1 Cable antirrobo en el portátil para los usos de bajo envite
N1 Tarjeta de acceso nunca dejada sin vigilancia (clonable en segundos)
N1 Funda anti-RFID para tarjetas bancarias y pasaporte biométrico
N2 Wi-Fi del hotel reservado a usos no sensibles únicamente
N2 eSIM local + VPN activado antes de toda conexión para el uso profesional
N2 Cuentas en la nube inútiles desconectadas del dispositivo de viaje
N2 Carpeta Descargas e historiales de mensajería purgados antes de la salida
N2 Ninguna impresión de documento confidencial en el material del hotel
N2 Ninguna conexión a los puertos HDMI/USB de los equipos de la habitación
N3 Dispositivo de viaje dedicado (imagen limpia) para los destinos de riesgo
N3 Ninguna conversación confidencial en la habitación en jurisdicción de riesgo
N3 Presentaciones desde la propia pantalla, sin conectar a la sala
N3 Hipótesis de acceso asumida al regreso: aislamiento y escaneo antes de reconectar a la red

Para profundizar

La investigación Unsaflok (unsaflok.com) documenta en detalle la cadena de fallos de las cerraduras RFID Saflok, su magnitud —más de tres millones de puertas en 166 países— y el lento estado del despliegue de las correcciones; hay que leerla para medir que la debilidad no es teórica. La charla asociada en DEF CON 32 muestra la mecánica de explotación. Del lado de la defensa individual, la guía Surveillance Self-Defense de la EFF (ssd.eff.org) sigue siendo la mejor entrada gratuita sobre los vectores físicos y de red, y el INCIBE publica recomendaciones para viajeros cortas y factuales, demasiado a menudo ignoradas. El artículo fundacional de Joanna Rutkowska sobre el ataque evil maid (2009) explica por qué una máquina en suspensión no es una máquina protegida.

Para vincular el hotel con el resto del ciclo de desplazamiento: la preparación antes de viajar explica cómo aprovisionar un dispositivo que no entrega nada ni siquiera clonado; fronteras y aduanas trata el momento en que la confiscación se vuelve legal; y viajar a China detalla el caso de las jurisdicciones de interceptación madura, donde la hipótesis de acceso a la habitación deja de ser una precaución para convertirse en una certeza operativa.