Auditoría OSINT a cadena hotelera europea

Sector

Hostelería · cadena boutique 8-12 propiedades · Europa Central y del Este · plantilla 250-400 personas.

Situación inicial

Durante una revisión previa a una ronda de financiación, el equipo directivo solicitó verificar qué información sensible de la organización era accesible públicamente. La preocupación nacía de un incidente reciente en el sector y de la preparación de un proceso de due diligence en el que se iban a auditar prácticas de tratamiento de datos.

Aproximación

Realizamos una auditoría OSINT estructurada en cuatro frentes: superficie técnica (subdominios expuestos, repositorios públicos, buckets sin autenticar), superficie documental (Scribd, SlideShare, repositorios académicos y portales de licitación), superficie humana (perfiles laborales filtrando datos de infraestructura interna) y superficie de proveedores. Cruzamos hallazgos contra el inventario interno proporcionado bajo NDA. Validamos cada hallazgo manualmente para descartar falsos positivos antes de entregar el informe.

Resultado

Se identificaron documentos internos con datos personales de huéspedes y empleados publicados involuntariamente en repositorios externos, además de credenciales históricas filtradas en brechas de terceros. Se diseñó un plan de contención de cinco días y se preparó la documentación necesaria para la notificación al regulador competente bajo plazos GDPR.

Aprendizaje

Las filtraciones más graves rara vez vienen de un ataque sofisticado: vienen de procesos rutinarios sin control sobre dónde acaban los documentos compartidos.

Tiempo y esfuerzo

12-18 días naturales · 35-50 horas de consultoría · 1 informe ejecutivo + 1 informe técnico + 1 plan de remediación.