Campaña de phishing activa contra el sector hotelero desde abril de 2026

Desde el pasado abril, organizaciones hoteleras y del sector de la hospitalidad en Europa y Asia están siendo blanco de una campaña de phishing sostenida que aprovecha la dinámica operativa propia de estos negocios. Los atacantes envían correos electrónicos que incluyen archivos ZIP presentados como fotografías, un tipo de adjunto que el personal de recepción suele recibir con frecuencia —imágenes de eventos, quejas de huéspedes, confirmaciones visuales— y que, por tanto, genera una desconfianza menor que otro tipo de fichero.

El implante: Node.js como vector de persistencia

Una vez que el destinatario abre el archivo ZIP y ejecuta su contenido, se despliega en el sistema un implante construido sobre el entorno de ejecución Node.js. Este tipo de carga útil resulta especialmente difícil de detectar en entornos corporativos donde Node.js puede estar legítimamente instalado o donde las soluciones de seguridad no monitorizan en profundidad los procesos de scripting de JavaScript. El objetivo concreto de los atacantes tras el acceso inicial a los equipos de recepción todavía no ha sido determinado con claridad.

Sin atribución y con motivación incierta

Microsoft, que ha sido quien ha emitido la advertencia, reconoce que por el momento no es posible vincular esta actividad a ningún actor de amenazas conocido. Tampoco está claro si el fin último es el robo de datos de clientes, el fraude financiero, el espionaje corporativo u otro objetivo. Esta falta de atribución y de un patrón de objetivos definitivo complica la respuesta defensiva, ya que no permite apoyarse en indicadores de compromiso previamente documentados.

Por qué el sector hotelero es un objetivo atractivo

Los equipos de recepción manejan habitualmente datos de tarjetas de crédito, documentos de identidad, información de reservas y credenciales de acceso a múltiples sistemas internos. Un implante con acceso persistente a estas máquinas puede convertirse en una puerta de entrada a infraestructuras mucho más amplias. Además, la naturaleza operativa de los hoteles —con alta rotación de personal y necesidad de respuesta rápida a comunicaciones externas— favorece que señuelos bien diseñados pasen desapercibidos.

Recomendaciones prácticas

  • Concienciación específica: Formar al personal de recepción para que verifique la procedencia de archivos adjuntos, aunque parezcan rutinarios.
  • Restricción de ejecución de scripts: Limitar mediante políticas de grupo la ejecución de intérpretes como Node.js en equipos que no lo requieran operacionalmente.
  • Inspección de adjuntos ZIP: Configurar las pasarelas de correo para analizar el contenido de archivos comprimidos antes de su entrega al destinatario final.
  • Monitorización de procesos inusuales: Vigilar la creación de procesos hijo originados desde clientes de correo o navegadores, especialmente si involucran motores de scripting.

¿Estás cubierto en DefensOps?

Aunque esta campaña no cuenta aún con técnicas MITRE formalmente asignadas, el motor de correlación de DefensOps (disponible desde el plan Essential) ofrece cobertura genérica frente a comportamientos sospechosos asociados a este tipo de intrusión: ejecución de procesos de scripting desde contextos no habituales, actividad de red anómala originada por intérpretes como Node.js y patrones de escritura en disco coherentes con el despliegue de implantes.

Si tu organización opera en el sector hotelero o gestiona infraestructuras con equipos de atención al cliente expuestos a comunicaciones externas, es el momento de revisar tu postura de detección.

👉 Consulta los planes de DefensOps y solicita una demo para comprobar qué nivel de cobertura se adapta a tus necesidades.


Fuente: The Hacker News – Microsoft Warns of Photo ZIP Phishing Campaign Targeting Hotels with Node.js Implant