Un ciberataque masivo ha puesto en riesgo la seguridad de miles de turistas nacionales e internacionales que han visitado Cancún, Quintana Roo, en los últimos años. De acuerdo con un análisis realizado por Publimetro México, los datos de más de 24,000 reservas de hotel han sido comprometidos, exponiendo información personal, bancaria y transaccional de los huéspedes.
La filtración se encuentra en la dark web, lo que significa que delincuentes cibernéticos podrían utilizarla para fraudes financieros, suplantación de identidad y campañas de phishing.
El ataque fue atribuido al ransomware SafePay, que logró vulnerar los sistemas de una de las principales cadenas hoteleras de Cancún, Haven Resorts. Entre la información filtrada se encuentran nombres completos, correos electrónicos, teléfonos, direcciones, itinerarios de viaje y detalles parciales de tarjetas de crédito, lo que representa un alto riesgo de fraudes bancarios y robo de identidad.

Un ataque detectado en la dark web
El ataque fue inicialmente identificado por los equipos de ThreatMon Ransomware Monitoring y Ransomware.live, dos plataformas que rastrean la actividad de grupos de ransomware en la dark web. Según sus reportes, Haven Resorts fue listada como víctima de SafePay en un sitio de filtraciones, lo que indicaba que la empresa no había pagado el rescate exigido por los atacantes.
Posteriormente, Publimetro México tuvo acceso y revisó parte de la información comprometida, confirmando la magnitud de la filtración y el grave riesgo que representa para los clientes y colaboradores de la cadena hotelera.

Reservas expuestas y riesgo de fraudes bancarios
El análisis de los archivos revisados por Publimetro México confirma que la filtración incluye datos de reservas de turistas desde 2022 hasta 2025, con información de hoteles de lujo en Cancún. Los registros detallan fechas de llegada y salida, tarifas pagadas, tipos de habitación reservada y métodos de pago, entre otros datos.
Además, se encontraron fragmentos de información de tarjetas de crédito, lo que podría facilitar ataques dirigidos como phishing bancario. Con esta táctica, los delincuentes pueden contactar a los afectados fingiendo ser su banco o la agencia de viajes con la que hicieron su reserva, solicitando los datos completos de la tarjeta o autorizaciones de pago fraudulentas.
La combinación de nombres, correos y detalles financieros hace que los afectados sean un blanco fácil de estafas.
Entre las agencias de viaje cuyos registros aparecen en los documentos filtrados están Despegar.com, Agoda Company, Expedia y OTS Open, así como otras empresas intermediarias que procesan pagos y reservas para hoteles en el Caribe mexicano.

Más que solo datos de huéspedes: contratos y pagos bancarios filtrados
La información comprometida no se limita a las reservas de turistas. Publimetro México también encontró contratos de trabajo con datos personales de empleados, incluyendo CURP, RFC, domicilios, estado civil y números de contacto.
Además, la filtración expone facturas, pagos bancarios y cobros a agencias de viaje, incluyendo copias escaneadas de documentos financieros de 2023 a 2025. También se encontraron pólizas de seguro, registros administrativos y permisos gubernamentales relacionados con la operación del hotel. En algunos documentos se detallan los montos y las transacciones realizadas con empresas turísticas y operadores de tours.
Entre los documentos también figuran contratos de terminación laboral, donde se menciona la necesidad de obtener la “carta renuncia” de los empleados sin mencionar directamente despidos, sino finiquitos, lo que podría tener implicaciones legales en materia de derechos laborales.
¿Toda la información está en la dark web?
Si bien la base de datos se encuentra publicada en foros clandestinos de la dark web, se desconoce si toda la información fue extraída o si los atacantes aún mantienen datos encriptados como parte de su estrategia para exigir un rescate a la empresa afectada.
Sin embargo, la muestra analizada revela que la filtración ya es lo suficientemente amplia como para poner en riesgo a miles de clientes y trabajadores. En total, se estima que son más de 90 GB de información; asimismo, SafePay destaca que el hotel tendría ingresos anuales por más de 39.6 millones de dólares, lo que indica que el ataque podría estar dirigido a extorsión o venta de información valiosa.
Ruiz advirtió que esta información —que incluye hábitos de compra, destinos frecuentes, acompañantes, medios de transporte, hoteles y restaurantes preferidos— es aprovechada por los ciberdelincuentes para diseñar ataques de phishing altamente personalizados y sofisticados.
“Al cruzar estos datos, los atacantes logran engañar a los usuarios con mayor eficacia, especialmente durante temporadas clave como periodos vacacionales, días festivos o promociones, cuando las personas están más enfocadas en planear y asegurar sus viajes ideales”
— Víctor Ruiz, fundador de SILIKN