La industria turística vuelve a enfrentarse a una seria amenaza en el terreno digital. El grupo Lopesan, considerado uno de los gigantes hoteleros de Canarias y el principal operador alojativo de Gran Canaria, ha quedado vinculado a una nueva alerta relacionada con una posible brecha de seguridad que habría comprometido miles de registros asociados a clientes de sus establecimientos turísticos.
Las primeras informaciones sobre el incidente apuntan a la presunta exposición de 27.629 expedientes individualesvinculados a huéspedes alojados principalmente en complejos situados en zonas estratégicas del sur de la isla, especialmente en Meloneras y Maspalomas.
Información comprometida
La documentación afectada iría más allá de simples datos de contacto. Entre la información presuntamente comprometida figurarían nombres completos, direcciones de correo electrónico, edades, fechas concretas de estancia y referencias vinculadas al país de origen de los clientes.
La gravedad potencial del episodio aumenta porque los registros también incluirían información operativa relacionada con la actividad hotelera y la experiencia del huésped. Según los datos analizados, aparecerían referencias a habitaciones asignadas, preferencias idiomáticas, duración de las estancias y determinados servicios utilizados por los visitantes durante sus vacaciones.
Campañas sofisticadas
Los especialistas en ciberseguridad llevan tiempo alertando del creciente valor que tienen este tipo de perfiles en los circuitos de ciberdelincuencia. La combinación de datos personales con hábitos de consumo y comportamiento turístico permite desarrollar campañas de fraude mucho más sofisticadas, desde correos de suplantación hasta ataques de ingeniería social dirigidos específicamente a las víctimas.
En el caso de Canarias, además, el riesgo adquiere una dimensión especial debido al elevado volumen de turistas internacionales que manejan las grandes cadenas hoteleras del Archipiélago, especialmente en segmentos de alto poder adquisitivo.
Plataformas internacionales
La actividad sospechosa relacionada con este episodio fue detectada inicialmente en plataformas internacionales de inteligencia digital especializadas en monitorización de amenazas y seguimiento de ataques corporativos. El incidente quedó registrado el pasado 11 de mayo de 2026 dentro de circuitos dedicados al análisis de campañas criminales vinculadas a intrusiones informáticas.
Los sistemas de evaluación utilizados en este tipo de alertas situaron el nivel de severidad en un índice ESIX de 5,04 puntos, una valoración considerada de impacto medio-alto dentro de los estándares habituales de exposición digital.
Objetivo de la ciberdelincuencia
El caso vuelve a evidenciar cómo el sector hotelero se ha convertido en uno de los grandes objetivos de la ciberdelincuencia internacional. Las cadenas turísticas gestionan enormes bases de datos con información financiera, documentación personal, plataformas de reserva, sistemas de pago y herramientas conectadas con terceros proveedores.
La complejidad tecnológica de estos ecosistemas multiplica los posibles puntos vulnerables. Entre los escenarios que suelen analizarse en este tipo de incidentes figuran campañas de phishing dirigidas a empleados, accesos comprometidos, vulnerabilidades pendientes de actualización o fallos en plataformas interconectadas.
Más allá del alcance técnico, el incidente podría derivar también en implicaciones regulatorias si las investigaciones concluyen que existieron deficiencias en los mecanismos de protección exigidos por la normativa europea de protección de datos.
Segundo ataque
No es la primera vez que Lopesan se enfrenta a una situación de este tipo. En julio de 2024, el grupo reconoció un “incidente de seguridad” que afectó a diferentes sociedades vinculadas a su estructura empresarial y que derivó en la extracción de información personal de clientes.
Entre las compañías afectadas entonces figuraban Altamarena SA; Hijos de Francisco López Sánchez SA; Duna Beach SA; IFA Hotel Faro Maspalomas SA; Oasis Beach Maspalomas SL; Lopesan Hotel Management SLU; Maspalomas Resort SL; Megahotel Faro SL; Hotel Avenida Italia 2 SAU; Interclub Atlantic Hotel SAU; Hotel Dunamar SAU; Creativ Hotel Catarina SAU; y Hotel Beach Tirajana SAU.
Datos personales
En aquel episodio, la compañía admitió que entre los datos potencialmente comprometidos figuraban nombres y apellidos, sexo, fecha de nacimiento, DNI o pasaporte, correo electrónico, teléfono, firmas de clientes y registros relacionados con fechas de entrada y salida en hoteles del grupo.
Ahora, los análisis forenses y las auditorías técnicas serán claves para determinar el alcance real de esta nueva alerta, esclarecer el origen de la posible intrusión y confirmar si existió acceso indebido a infraestructuras centrales o sistemas asociados al grupo turístico.