El 26 de marzo de 2026, el grupo de ransomware Qilin publicó a NOI Hotels en su sitio de filtraciones (data leak site). NOI Hotels es una reconocida cadena hotelera chilena con propiedades en varios puntos del país, entre ellas: Noi Vitacura, NOI Blend Colchagua, NOI Casa Atacama, NOI Puma Lodge y NOI Indigo Patagonia. En ese momento, los actores de la amenaza afirmaron tener en su poder 539 GB de información de la cadena, además de más de un millón de archivos. Como prueba, publicaron muestras que incluían nombres de proveedores, facturas, pasaportes y presupuestos.


Qilin filtró los datos: 



En una nueva actualización de esta noticia, verificamos que el grupo de ciberdelincuentes publicó en su sitio de la dark web todos los archivos robados. Entre los documentos expuestos encontramos:


  • Reservas de huéspedes



Quedó expuesta una gran cantidad de archivos de huéspedes de distintas localidades de la cadena hotelera. En estos documentos PDF se encuentran reservas que incluyen decenas de nombres y apellidos completos, itinerarios de vuelos, consumos en el hotel y, especialmente preocupante, las cédulas de identidad de los clientes. Esta información representa un riesgo elevado para los huéspedes, ya que podrían ser víctimas de extorsión, estafas o suplantación de identidad.


  • Sistema

Lo más preocupante es que, además de los datos filtrados, se evidenciaron graves malas prácticas de seguridad en los sistemas internos del hotel: archivos de texto plano con contraseñas, licencias de Office expuestas, sistemas Windows 7 (sin actualizaciones desde 2020), claves SSH sin protección, planos del hotel y listados completos de empleados en Excel con información sensible (RUT, nombre completo, cargo, correo electrónico, teléfono y domicilio).


  • Proveedores

Se detectó una lista de proveedores con nombres completos, correos electrónicos y números de teléfono. Esta información podría facilitar ataques de phishing, smishing y vishing contra dichas organizaciones. Sería esperable que NOI Hotels haya notificado a sus proveedores sobre el incidente de ransomware; de lo contrario, es muy probable que se estén enterando en este momento.


Falta de comunicación oficial

Hasta la fecha, la cadena hotelera no ha emitido ningún comunicado oficial sobre el incidente, ni en su página web ni en sus redes sociales. El 28 de marzo de 2026 enviamos un correo electrónico solicitando información sobre el ataque. El 1 de julio volvimos a escribirles para preguntar si estaban al tanto de la filtración en la dark web, si publicarían un comunicado y qué medidas de seguridad habían implementado. Hasta el momento no hemos recibido respuesta de la cadena hotelera. Si obtenemos contestación, actualizaremos este post.