Alerta de ataque: lockbit5 apunta a marriott.com - US
Introduction
El gigante hotelero Marriott International (marriott.com), con más de 120.000 empleados y una facturación de 20.970 millones de dólares, se enfrentó a una nueva ciberamenaza en diciembre de 2025. El grupo de ransomware LockBit5 se atribuyó la responsabilidad de comprometer la infraestructura de esta cadena hotelera global, exponiendo potencialmente datos confidenciales de clientes, reservas y sistemas de pago. Clasificado como XC SIGNAL según nuestro análisis certificado, este ataque se produce en un momento en que el sector hotelero ya se encuentra debilitado por incidentes recurrentes de ciberseguridad. La intrusión, detectada el 7 de diciembre de 2025, plantea interrogantes cruciales sobre la protección de la información personal de millones de viajeros en todo el mundo.
Esta vulneración se produce en medio de un aumento de ciberataques dirigidos a bases de datos de clientes y sistemas de reservas en la industria hotelera estadounidense. Agentes maliciosos explotan el alto valor de mercado de la información relacionada con tarjetas de crédito, identidades y hábitos de viaje. Para Marriott, que ha gestionado sistemas críticos de gestión de propiedades desde su fundación en 1927, el impacto de una brecha de seguridad de este tipo va mucho más allá del ámbito técnico, afectando la confianza de su clientela internacional.
Analyse détaillée
El análisis de los metadatos disponibles revela que LockBit5 mantiene su posición competitiva en el panorama global de la ciberdelincuencia. Los datos certificados en la blockchain de Polygon permiten una cronología precisa de este incidente, ofreciendo una transparencia sin precedentes en un ámbito tradicionalmente opaco. Este ataque contra una organización de este tamaño demuestra la capacidad del colectivo para atacar infraestructuras complejas y de alta seguridad.
El nivel XC SEÑAL indica una exposición detectada, pero nuestros sistemas analíticos aún están evaluando su alcance. A diferencia de los niveles MÍNIMO, PARCIAL o COMPLETO, que cuantifican con precisión el volumen de archivos comprometidos, el estado SEÑAL indica una reclamación activa que requiere una estrecha vigilancia. Esta clasificación permite a los equipos de seguridad priorizar su respuesta a la espera de información más concreta sobre la naturaleza exacta de los activos digitales afectados.
LockBit5 representa la última evolución de una franquicia de ransomware particularmente prolífica y adaptable. Operando con un modelo de Ransomware como Servicio (RaaS), este colectivo cibercriminal proporciona su infraestructura maliciosa a afiliados que realizan intrusiones sobre el terreno y posteriormente comparten las ganancias del rescate. Esta estructura descentralizada dificulta significativamente la atribución y los esfuerzos de desmantelamiento por parte de las autoridades.
El grupo sigue los pasos de versiones anteriores de LockBit, conocidas por su sofisticación técnica y agresividad operativa. Los análisis de nuestros expertos en inteligencia de amenazas revelan que LockBit5 mantiene un arsenal de tácticas, técnicas y procedimientos (TTP) probados: explotación de vulnerabilidades de día cero, compromiso de cuentas privilegiadas, movimiento lateral sigiloso y exfiltración masiva antes del cifrado. Su sello distintivo es la doble extorsión: cifrado de sistemas y la amenaza de publicar los datos robados.
Activo en 2025, LockBit5 sigue una estrategia de ataques oportunistas, atacando tanto a pymes como a multinacionales. Sus víctimas anteriores abarcan todos los sectores críticos: salud, finanzas, manufactura y, ahora, hostelería. El colectivo mantiene un sitio web dedicado a filtraciones en la dark web donde publica progresivamente los archivos de las organizaciones que se niegan a pagar, maximizando así la presión psicológica y reputacional.
Su modus operandi se basa en vectores de ataque iniciales clásicos: correos electrónicos de phishing sofisticados, explotación de servicios RDP poco seguros y compromiso de la cadena de suministro de software. Una vez obtenido el acceso inicial, los afiliados de LockBit5 implementan herramientas de reconocimiento de red, escalan sus privilegios y establecen mecanismos de persistencia antes de la exfiltración. El cifrado final suele ocurrir durante los fines de semana o períodos de baja actividad para maximizar el impacto.
→ Análisis completo del Grupo LockBit5
Marriott International ha sido un pilar de la industria hotelera global durante casi un siglo. Fundada en 1927, la compañía ha crecido desde un modesto puesto de cerveza de raíz en Washington, D.C., hasta convertirse en un imperio hotelero que ahora gestiona más de 8000 propiedades en 139 países y territorios. Su portafolio de prestigiosas marcas —Ritz-Carlton, St. Regis, W Hotels, Sheraton y Westin— posiciona a marriott.com como una autoridad líder en el sector hotelero.
Con más de 120.000 empleados y 20.970 millones de dólares en ingresos, la organización estadounidense gestiona millones de transacciones sensibles a diario. Sus sistemas informáticos procesan reservas, pagos con tarjeta de crédito, programas de fidelización (Marriott Bonvoy cuenta con más de 180 millones de miembros), datos biométricos en algunas propiedades e información sobre las preferencias personales de los clientes. Esta enorme concentración de información personal y financiera convierte a Marriott en un objetivo prioritario para actores maliciosos.
La infraestructura tecnológica de Marriott.com se basa en sistemas de gestión de propiedades (PMS) interconectados, plataformas de reserva online, aplicaciones móviles y redes de puntos de venta distribuidas globalmente. Esta complejidad arquitectónica, necesaria para operar a escala internacional, multiplica las posibles superficies de ataque. Cada hotel representa un posible punto de entrada a la red corporativa central, lo que genera considerables desafíos de seguridad.
Desafortunadamente, la compañía no es ajena a los grandes incidentes de ciberseguridad. En 2018, Marriott reveló una filtración masiva de su base de datos Starwood (adquirida en 2016), que afectó la información personal de 500 millones de clientes durante cuatro años. Esta filtración histórica resultó en importantes multas regulatorias y un daño duradero a la reputación. La recurrencia de estos incidentes plantea dudas sobre la eficacia de las inversiones en seguridad posteriores a 2018.
→ Otros ataques en el sector hotelero
El estado XC SIGNAL asignado a esta vulnerabilidad indica una reclamación activa por parte de LockBit5 sin confirmación inmediata del volumen exacto de archivos exfiltrados. Nuestros sistemas de análisis XC-Classify, basados en las metodologías de clasificación de incidentes del NIST, monitorean continuamente los canales de comunicación del grupo para actualizar esta evaluación. Los datos sugieren que los atacantes potencialmente accedieron a los sistemas de gestión de clientes y reservas, áreas críticas que contienen nombres, direcciones, números de pasaporte, datos bancarios e historiales de estancias.
Un análisis de las demandas publicadas por LockBit5 en su infraestructura de la dark web revela una mención explícita de marriott.com con fecha del 7 de diciembre de 2025. Los ciberdelincuentes suelen seguir un programa de publicación gradual: anuncio inicial, muestras de evidencia y, posteriormente, divulgación gradual si no se paga el rescate. En esta etapa, la ausencia de archivos de acceso público podría indicar negociaciones en curso o un período de gracia antes de la escalada.
Los posibles vectores de ataque contra una organización de este tamaño incluyen la vulneración de cuentas de administrador mediante robo de credenciales o phishing dirigido, la explotación de vulnerabilidades sin parchear en sistemas PMS de terceros o la infiltración a través de un proveedor de servicios gestionados. La interconexión de las más de 8000 propiedades de Marriott crea múltiples oportunidades para un discreto movimiento lateral una vez establecido el acceso inicial. Los afiliados de LockBit5 suelen preferir periodos de reconocimiento prolongados (varias semanas) para mapear el entorno antes de la exfiltración.
Questions Fréquentes
When did the attack by lockbit5 on marriott.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for marriott.com.
Who is the victim of lockbit5?
The victim is marriott.com and operates in the hospitality sector. The company is located in United States. Visit marriott.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on marriott.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on marriott.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
La probable cronología del incidente sugiere una intrusión inicial que ocurrió varias semanas antes del incidente del 7 de diciembre. Es probable que los actores maliciosos establecieran múltiples puntos de persistencia, escalaran privilegios a las cuentas de dominio de administrador e identificaran las bases de datos más sensibles. La exfiltración masiva habría precedido al despliegue del ransomware unos días, siguiendo la clásica estrategia de doble extorsión. Los equipos de seguridad de Marriott probablemente detectaron la actividad maliciosa durante el cifrado o mediante alertas de transferencias de datos anormales.