Ciberataque a hoteles de Italia roba 70.000 documentos de identidad

Un grupo de ciberdelincuentes ha sustraído en las últimas semanas más de 70.000 documentos de identidad de huéspedes de varios hoteles en Italia, tras acceder sin autorización a sus sistemas informáticos, y los ha puesto a la venta en foros clandestinos de internet.

Se trata de decenas de miles de escaneos en alta resolución de pasaportes, documentos de identidad y otros documentos utilizados por los clientes para registrarse en los establecimientos, según información de la Agencia para la Italia Digital (AgID), de la que este martes se hicieron eco los medios locales.

Dispositivo para escanear documentos. Fuente: Adobe Stock

Los ataques comenzaron en junio de 2025 y han sido atribuidos a un actor malicioso identificado como "mydocs", que ha publicado en foros ocultos de Internet hasta tres colecciones con un total cercano a los 100.000 documentos comprometidos.

El primer ataque afectó a tres hoteles entre junio y julio, mientras que a principios de agosto "mydocs" publicó una nueva colección con 17.000 documentos sustraídos de otro establecimiento.

El incidente más reciente, y también el más grave, tuvo lugar el pasado fin de semana, cuando el grupo difundió un mensaje anunciando la venta de más de 70.000 documentos extraídos de otros cuatro hoteles italianos.

Las autoridades advierten del alto riesgo que supone esta filtración masiva, ya que la información sustraída puede ser utilizada para fraudes sofisticados, como la creación de documentos falsos, la apertura de cuentas bancarias fraudulentas o el robo de identidad digital.

"Aunque episodios similares ya se habían detectado en mayo de 2025, el aumento en la venta ilícita de documentos confirma la urgencia de reforzar la conciencia y las medidas de protección, tanto por parte de las organizaciones que los gestionan como de los ciudadanos", señaló la AgID en un comunicado.

¿Cómo pueden los hoteles en España escanear el documento de sus clientes cumpliendo la legalidad?

En España, la entrada en vigor del Real Decreto 933/2021 sobre el registro documental de viajeros ha generado numerosas dudas entre los hoteles respecto a cómo deben tratar los documentos de identidad de sus clientes.

Según explica el bufete de abogados MONLEX, la nueva norma obliga a los establecimientos de hospedaje a recoger y registrar determinados datos de identificación del viajero, como el nombre, los apellidos, el número de documento, la nacionalidad, el domicilio, entre otros​.

"Sin embargo, en ningún momento exige conservar una copia o imagen completa del documento de identidad. El establecimiento debe verificar la exactitud de los datos mostrándose el documento físicamente o facilitando su lectura, pero no conservarlo", aclara MONLEX.

"No está prohibido escanear el documento. Lo que no se puede hacer es guardar una copia completa del documento (fotocopia, imagen escaneada, fotografía) si no es estrictamente necesario", añade dicho despacho de abogados.

Según remarcan desde este bufete, el hotel no debe conservar copias físicas ni digitales del documento de identidad y es fundamental formar al personal de recepción para aplicar correctamente este procedimiento.

Consulta el post completo de MONLEX aquí:

• ¿Puedo escanear el DNI de mis huéspedes? Así debes hacerlo legalmente