Análise Cibersegurança Hospitalidade

Os riscos de cibersegurança que os hotéis precisam enfrentar, e geralmente não enfrentam

Um hotel de médio porte acumula nome, endereço residencial, número de passaporte, cartão de pagamento, e-mail, padrões de viagem, preferências alimentares e, às vezes, detalhes familiares de cada hóspede. Essa combinação coloca a hospitalidade entre os alvos mais ricos em dados fora dos serviços financeiros, e o historicamente baixo investimento em segurança de TI do setor o torna um alvo fácil.

10 de maio de 2026
6 min de leitura
Principais conclusões
  • A violação da Marriott expôs 383 milhões de registros de hóspedes. A hospitalidade é um alvo prioritário de atores estatais e crime organizado
  • Os hotéis operam quatro superfícies de ataque de alto valor simultaneamente: PMS, sistemas POS, WiFi de hóspedes e plataformas de reservas OTA
  • A LGPD exige notificar sua autoridade supervisora dentro de 72 horas após descobrir uma violação de dados pessoais
  • Armazenar digitalizações de passaportes além da finalidade do check-in é quase certamente ilegal
  • O ransomware é a ameaça dominante. O ataque à MGM em 2023 interrompeu operações em mais de 30 propriedades e custou mais de 100 milhões de dólares

Por que a hospitalidade é um alvo persistente

A violação da Marriott Starwood, divulgada em 2018, expôs até 383 milhões de registros de hóspedes acumulados ao longo de quatro anos. Uma segunda violação da Marriott em 2020 afetou 5,2 milhões de hóspedes. A MGM Resorts sofreu um ataque de ransomware em 2023 que derrubou sistemas de reservas, cartões-chave de quartos, caça-níqueis e ATMs em múltiplas propriedades, com perdas relatadas na casa dos centenas de milhões. Esses são os incidentes que chegaram às manchetes. Dezenas de grupos hoteleiros menores enfrentam violações todos os anos que não recebem nenhuma cobertura.

O padrão nesses incidentes é consistente: os atacantes visam a hospitalidade porque a recompensa é alta (dados de cartão de pagamento combinados com identificadores pessoais), as defesas são frequentemente fracas (infraestrutura de TI fragmentada, sistemas legados e alta rotatividade de pessoal que dificulta a manutenção de treinamentos de segurança) e a pressão operacional para permanecer online é extrema. Um hospital pode desativar um sistema durante um incidente; um hotel com 500 hóspedes fazendo check-in não pode.

383M
registros de hóspedes expostos na violação da Marriott Starwood, acumulados ao longo de quatro anos sem detecção
Top 5
a hospitalidade está consistentemente entre os setores mais visados por violações de dados globalmente
72h
prazo para notificar sua autoridade supervisora após descobrir uma violação de dados pessoais

As quatro superfícies de ataque mais importantes

Os ambientes de TI hoteleiros são incomumente complexos para seu tamanho. Uma única propriedade normalmente executa um Sistema de Gestão de Propriedades, um sistema de Ponto de Venda, um mecanismo de reservas, um gerenciador de canais, uma plataforma de reservas de restaurante, WiFi para hóspedes, controle de acesso para chaves de quartos e sistemas de back-office financeiros e de RH. Cada um desses é um ponto de entrada potencial e, na maioria dos hotéis, eles estão inadequadamente segmentados uns dos outros.

Sistemas de Gestão de Propriedades

O PMS é o núcleo das operações hoteleiras. Ele contém perfis de hóspedes, histórico de reservas, tokens de cartão de pagamento, atribuições de quartos e registros de check-in/check-out. Plataformas PMS como Opera e MICROS são amplamente implantadas, frequentemente em versões com anos de atraso em patches de segurança. Atacantes que comprometem o PMS têm acesso ao banco de dados completo de hóspedes. Em vários incidentes documentados, atacantes mantiveram acesso a ambientes PMS hoteleiros por mais de um ano antes da detecção.

Os controles de acesso nos sistemas PMS são frequentemente inadequados. Credenciais de administrador compartilhadas, ausência de autenticação multifator e permissões amplas de usuário em toda a equipe da recepção são comuns. A equipe da recepção raramente precisa de acesso a registros históricos de pagamento de hóspedes.

Sistemas de Ponto de Venda

Ataques de malware em POS nos restaurantes, bares e spas de hotéis visaram marcas incluindo Hilton, Hyatt e Mandarin Oriental. O método de ataque é consistente: malware instalado no terminal POS captura dados do cartão no momento do deslizamento ou inserção, antes que chegue ao processador de pagamento. Esses ataques persistem por meses porque o sistema POS parece funcionar normalmente durante todo o período.

Sistemas POS que não estão em um segmento de rede isolado criam um problema maior. Um atacante que compromete um terminal de bar pode usá-lo como ponto de pivô para a rede mais ampla do hotel. A segmentação de rede entre POS, PMS e WiFi de hóspedes é o controle técnico mais impactante que os hotéis podem implementar.

WiFi de hóspedes

O WiFi de hóspedes não é apenas um risco para os hóspedes. Na maioria dos hotéis, a rede de hóspedes e a rede corporativa não estão adequadamente separadas. Um hóspede que lança um ataque pelo WiFi do hotel, ou um atacante que compromete o dispositivo de um hóspede e o usa como pivô, às vezes pode alcançar sistemas internos do hotel diretamente. Esse não é um risco teórico: grupos de ameaças focados em hospitalidade visam especificamente propriedades onde a segmentação de rede é fraca.

A solução não é complicada, mas requer arquitetura deliberada. O WiFi de hóspedes deve ser totalmente isolado, sem rota para sistemas internos. O fato de um hóspede poder acessar a internet de seu quarto não requer nenhuma conexão com a rede interna do hotel.

Plataformas de reservas e integrações com OTAs

Os hotéis normalmente recebem reservas por múltiplos canais: seu próprio site, Booking.com, Expedia e outras agências de viagens online. Cada uma dessas integrações é uma conexão de API que processa dados de hóspedes. Comprometer a API de reservas de um hotel tem sido usado para coletar dados de reservas em escala, incluindo nomes, endereços de e-mail, números de telefone e, em alguns casos, detalhes parciais de cartão de pagamento.

Ataques de phishing direcionados à equipe de recepção frequentemente se passam por Booking.com ou outras OTAs. A equipe recebe uma mensagem que aparenta ser da plataforma pedindo que faça login para resolver uma reclamação de hóspede. O roubo de credenciais que se segue dá aos atacantes acesso direto à conta de gestão OTA do hotel e, às vezes, ao próprio sistema de reservas.

Obrigações da LGPD que os hotéis frequentemente ignoram

Um hotel que opera no Brasil é um controlador de dados sob a LGPD para cada dado de hóspede que coleta. Isso inclui dados coletados por sistemas de reservas de terceiros em seu nome: você permanece o controlador e o terceiro é seu operador de dados. Você precisa de Acordos de Processamento de Dados com cada plataforma que lida com dados de hóspedes: seu fornecedor de PMS, seu gerenciador de canais, seu sistema de reservas de restaurante e cada OTA com a qual você trabalha.

A retenção é a área que a maioria dos hotéis gerencia pior. Registros de hóspedes, incluindo tokens de cartão de pagamento, são mantidos indefinidamente por rotina. A legislação de proteção de dados exige que os dados pessoais sejam mantidos apenas pelo tempo necessário para o propósito para o qual foram coletados. Para a maioria dos dados transacionais de hóspedes, é necessária uma janela de retenção definida com exclusão automatizada. Os dados do programa de fidelidade têm regras diferentes, mas mesmo esses não são indefinidos.

Importante

Se uma violação expuser dados pessoais de hóspedes, você tem 72 horas para notificar sua autoridade supervisora. Esse prazo começa a partir do momento em que você toma conhecimento da violação, não quando termina a investigação. Hotéis sem um plano de resposta a incidentes que inclua uma etapa de notificação regulatória perderão esse prazo. As multas por notificação tardia são separadas e adicionais às multas pela falha de segurança subjacente.

Digitalizações de passaporte e documentos de identidade criam uma obrigação específica. Muitos hotéis fotografam ou copiam passaportes no check-in. Um passaporte digitalizado é um documento altamente sensível. Se você os coleta, precisa de uma base legal, um período de retenção declarado e armazenamento seguro. Manter digitalizações de passaportes em uma pasta compartilhada no computador da recepção, o que é comum, não satisfaz nenhum desses requisitos.

Como é uma linha de base de segurança credível para hotéis

Os controles a seguir são alcançáveis para qualquer grupo hoteleiro, independente do tamanho. Nenhum requer infraestrutura de nível empresarial. Todos abordam os padrões de ataque reais observados em violações na hospitalidade.

1
Segmente suas redes
WiFi de hóspedes, sistemas POS, PMS e TI de back-office devem estar em VLANs separadas com regras de firewall que impeçam o movimento lateral entre eles. Este é o controle de maior impacto para reduzir o escopo de uma violação.
2
Habilite MFA em todos os sistemas voltados ao exterior
Acesso administrativo ao PMS, contas de e-mail, logins em plataformas de reservas e qualquer sistema acessível fora da rede do hotel devem exigir autenticação multifator. O roubo de credenciais da recepção é o método de acesso inicial mais comum em violações hoteleiras.
3
Aplique patches em PMS e POS em um cronograma definido
Muitos hotéis executam versões de PMS com anos de atraso nos patches do fornecedor, frequentemente porque o fornecedor exige ciclos de atualização pagos. Documente seu status de patches e trabalhe com seu fornecedor para fechar as lacunas. Sistemas legados devem ser isolados se não puderem ser corrigidos.
4
Realize simulações trimestrais de phishing para a equipe da recepção
As equipes de recepção são o principal alvo de ataques de personificação de OTA. Simulações regulares, com treinamento imediato para funcionários que clicam, reduzem a suscetibilidade ao longo do tempo. O treinamento anual de conscientização de segurança por si só não é suficiente para uma equipe com alta rotatividade.
5
Defina e aplique períodos de retenção de dados de hóspedes
Defina um período de retenção específico para dados transacionais de hóspedes (tipicamente 12 a 36 meses após a estadia) e implemente exclusão automatizada. Digitalizações de passaporte e documentos de identidade devem ser excluídas dentro de dias após o check-out, a menos que uma base legal específica exija retenção mais longa.
6
Elabore um plano de resposta a incidentes adaptado às operações hoteleiras
Um plano de resposta a incidentes hoteleiros precisa abordar o que acontece quando o PMS fica inativo durante o check-in, como notificar hóspedes cujos dados foram comprometidos e quem contata a autoridade supervisora dentro de 72 horas. Planos genéricos de incidentes de TI não cobrem esses cenários.

Hotéis que implementaram esses seis controles podem demonstrar uma linha de base de segurança credível para reguladores e seguradoras quando ocorre um incidente. Na hospitalidade, as violações acontecem regularmente. A diferença está na rapidez com que você as contém e no que você pode documentar.

Os requisitos do PCI DSS para segurança de cartão de pagamento são mantidos pelo PCI Security Standards Council. Os relatórios anuais de panorama de ameaças da ENISA, cobrindo padrões de ataque específicos por setor, estão disponíveis em enisa.europa.eu.

Perguntas frequentes

Por que os hotéis são alvos principais de cibercriminosos?

Os hotéis concentram vários tipos de dados de alto valor em um único local: dados de cartão de pagamento, documentos de passaporte e identidade, credenciais de programas de fidelidade, itinerários de viagem e informações de contas corporativas. Essa concentração de dados sensíveis, combinada com ambientes de TI complexos abrangendo sistemas de gestão de propriedades, terminais de ponto de venda, WiFi de hóspedes e plataformas de reservas de terceiros, cria uma grande superfície de ataque. O setor de hospitalidade também tende a ter menor investimento em cibersegurança do que os serviços financeiros, tornando-o um alvo atrativo.

Quais obrigações de proteção de dados se aplicam aos hotéis após uma violação de dados?

De acordo com as leis de proteção de dados aplicáveis, os hotéis devem notificar sua autoridade supervisora dentro de 72 horas após tomar conhecimento de uma violação de dados pessoais. Se a violação puder resultar em alto risco para os indivíduos e se dados de cartão de pagamento ou documentos de identidade foram expostos, também é necessário notificar os indivíduos afetados sem demora indevida. O não cumprimento do prazo de 72 horas foi um fator em várias ações de aplicação regulatória.

Por quanto tempo os hotéis podem manter cópias de digitalizações de passaportes?

A retenção de digitalizações de passaportes deve ser fundamentada em uma base legal específica e limitada ao período mínimo necessário. Na maioria das jurisdições, a base legal para coletar informações de passaporte é o cumprimento de uma obrigação legal, como os requisitos de registro de hóspedes. Manter digitalizações além da finalidade dessa obrigação (por exemplo, mantê-las indefinidamente em uma pasta compartilhada) é muito provavelmente ilegal. São necessárias políticas de retenção documentadas, cronogramas de exclusão e controles de acesso.

Qual é o maior risco de cibersegurança para os sistemas de gestão de propriedades hoteleiras?

Os sistemas de gestão de propriedades (PMS) são o sistema nervoso central de um hotel: armazenam dados de reservas, perfis de hóspedes, histórico de pagamentos e controle de acesso aos quartos. Os principais riscos são credenciais roubadas por ataques de phishing ou credential stuffing, vulnerabilidades de software sem patch e movimento lateral após um comprometimento inicial de um endpoint menos protegido. Os sistemas PMS também são tipicamente integrados a dezenas de sistemas de terceiros, cada um representando um ponto de entrada adicional. A segmentação de rede e o controle de acesso estrito são as mitigações mais eficazes.

Como é uma linha de base básica de cibersegurança para um hotel?

Uma linha de base credível inclui: autenticação multifator em todo acesso administrativo e PMS; segmentação de rede separando WiFi de hóspedes, sistemas operacionais e ambientes de cartão de pagamento; patches regulares de software PMS e POS; treinamento anual de conscientização sobre phishing para funcionários; um plano de resposta a incidentes com uma lista de verificação de notificação regulatória de 72 horas; backups criptografados testados regularmente; e uma revisão de todas as integrações de terceiros para garantir que os fornecedores atendam aos padrões mínimos de segurança.

Fale com a Cyvra

Preocupado com a postura de segurança do seu hotel?

Trabalhamos com grupos hoteleiros no Brasil para fechar lacunas de segurança antes que os atacantes as encontrem, não depois.

Aviso legal: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a precisão ou completude deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita responsabilidade por qualquer perda decorrente da confiança neste conteúdo.