La forma más rápida de perder datos del hotel: confiar en que una sola contraseña haga todo el trabajo.
Las contraseñas se reutilizan entre hoteles y cuentas personales. Los teléfonos se quedan sobre la recepción. Los portátiles se prestan. Una sola contraseña ya no basta para proteger los datos de la propiedad, las nóminas y la correspondencia con huéspedes. La solución es la misma desde hace una década: añadir un segundo factor. Lo difícil ha sido hacerlo lo bastante fácil para que los equipos hoteleros realmente lo adopten.
Esa parte la hemos construido.
Qué hace MFA
Cada usuario añade un segundo factor — un passkey en el móvil o portátil, una app de autenticación, o ambos. Cada propietario decide si ese segundo factor es opcional u obligatorio para todos los que trabajan allí. Sin servicios de terceros, sin suscripción adicional, sin SMS interceptables.
Toda la experiencia vive en la misma app que el equipo ya usa. Mismo login. Mismo idioma. Mismo registro de auditoría.
Cómo funciona
El usuario abre Ajustes → Autenticación en dos factores, elige Añadir passkey (recomendado) o App de autenticación y confirma con un código de 6 dígitos enviado al correo registrado. A partir de ese momento, cada nueva sesión de navegador pide el segundo factor antes de mostrar datos del hotel.
Para activar la obligatoriedad para todos en un hotel, el admin abre Ajustes del hotel → Política de dos factores y la pasa a Obligatoria. Desde entonces, quien inicie sesión sin MFA verá una pantalla limpia de enrolamiento — passkey, app de autenticación, o volver y elegir otro hotel.
Esa es toda la experiencia administrativa. Un interruptor.
Funciones clave
- Dos opciones de enrolamiento — passkey (Touch ID / Face ID / Windows Hello / llave de seguridad) o app (cualquier app RFC 6238)
- Inicio de sesión sin contraseña — un passkey en el dispositivo sustituye correo + contraseña con un toque
- Ocho códigos de recuperación de un solo uso al enrolarse, regenerables cuando se quiera
- Política por hotel — Opcional u Obligatoria, un toggle
- Confirmación por correo antes del primer enrolamiento (cierra el secuestro silencioso de passkey)
- Verificación adicional para cambios sensibles — añadir, quitar o regenerar siempre pide otra vez
- Nuevo navegador, nuevo dispositivo, nueva sesión — siempre pide el segundo factor
- Passkey eliminado es definitivo — esa credencial nunca puede volver a iniciar sesión, aunque se encuentre
- Registro de actividad por usuario — cada acción MFA, con marca de tiempo e IP
- Cuatro idiomas — cada pantalla y correo siguen la preferencia del usuario
Para quién
Propietarios cuya póliza de ciber seguros exige 2FA en cuentas del personal. Directores de grupos multi-propiedad que comparten back-end entre equipos. Compliance que necesita registro auditable de quién activó MFA y cuándo. Supervisores de recepción cansados de resetear contraseñas olvidadas cada lunes.
Cualquiera que lea un informe de brecha de datos y piense “no queremos ser los siguientes”.
Por qué sin SMS
El 2FA por SMS lleva años roto en público. Ataques de SIM-swap, empleados malintencionados del operador, mensajes interceptados — todo documentado, todo rutina. No enviamos SMS como factor. Solo passkeys y TOTP — ambos basados en estándares, ambos verificables de extremo a extremo, ambos resistentes al phishing de forma distinta.
Esa decisión significa: un hotel que adopta MFA en Rapid Hotel System está adoptando el mismo estándar al que las grandes tecnológicas ya migraron.
Por qué los passkeys cambian la experiencia
El inicio con passkey es esa rara mejora de seguridad que también mejora la usabilidad. Tocas la huella, entras. Sin escribir correo. Sin recordar contraseña. Sin copiar códigos entre apps. Misma seguridad que contraseña fuerte + 2FA, en una fracción del tiempo.
Para un equipo de recepción que entra decenas de veces por turno, esa diferencia se acumula en minutos reales por turno.
Recuperación integrada
En cuanto un usuario enrola su primer factor, el sistema emite ocho códigos de recuperación de un solo uso. El usuario los imprime, los guarda en un gestor de contraseñas o en un lugar seguro — el sistema no guarda copias legibles, así que es responsabilidad del usuario almacenarlos donde pueda recuperarlos. Móvil perdido, portátil perdido, vuelta de vacaciones con otro dispositivo — un solo código permite recuperar el acceso. Cada uno funciona exactamente una vez. Nuevo conjunto bajo demanda.
Ese diseño evita el fallo más habitual de 2FA: personas bloqueadas por haber cambiado de dispositivo y no haber pensado nunca en la recuperación.
La parte honesta
La mayoría del software sigue tratando MFA como función enterprise, add-on de pago o casilla que nadie despliega de verdad. Los hoteles están especialmente desprotegidos — alta rotación, puestos compartidos, accesos de proveedores que se acumulan, y un flujo constante de datos de huéspedes y pagos por cada sistema.
Un segundo factor no resuelve toda amenaza. Sí elimina la mayor: la contraseña robada o adivinada. Integrado, multilingüe, incluido en el producto — no hay razón para que un hotel de cualquier tamaño no lo active mañana.
¿Cómo de protegidos están los logins de su hotel hoy — solo contraseña, MFA disponible pero opcional, o MFA obligatoria para cada miembro del equipo?