RGPD, phishing, protección del TPV, wifi seguro y reseñas falsas. Lo que un autónomo de hostelería tiene que saber en 2026.
Tenemos herramientas gratis para hacerlo en segundos: analizar un mensaje sospechoso, ver si pueden suplantar tu correo, comprobar una web o un QR antes de fiarte.
Ver las herramientas gratis →El Reglamento General de Protección de Datos (RGPD) y su versión española (LOPDGDD) no son cosa solo de grandes empresas. Si tienes un restaurante pequeño que recoge teléfonos para reservas, tiene wifi para clientes, cámara de seguridad, programa de fidelización o newsletter, estás obligado a cumplirlo.
La Agencia Española de Protección de Datos (AEPD) sanciona cada año a cientos de bares y restaurantes españoles. Las multas más comunes son por no tener política de privacidad, por consentimiento mal recogido (casillas pre-marcadas, formularios sin checkbox) o por no informar de las cámaras con el cartel visible obligatorio.
Un bar de tapas en Sevilla recibió una multa de 6.000€ en 2024 por tener un formulario de reservas en la web sin política de privacidad y sin checkbox de consentimiento. El cliente que les denunció era un letrado en formación. La denuncia fue gratis para él, la multa cara para el bar.
El phishing es el engaño por correo o WhatsApp que simula ser una empresa conocida para robarte credenciales o dinero. En hostelería, los ataques más comunes son:
Phishing de reservas online: te llega un email que parece de tu plataforma de reservas habitual (con su logo, color y todo) avisando de "actividad sospechosa" o "cambio de comisión". Pide que entres y "verifiques" la cuenta. Si pones tu contraseña en esa página falsa, el atacante entra en tu cuenta real y manipula reservas, cobra a tus clientes o roba el saldo acumulado.
Phishing de Google My Business: te llega un correo "de Google" diciendo que tu ficha será suspendida si no verificas. Te llevan a una URL falsa que parece Google. Si caes, pierdes el control de tu ficha de Google Maps (donde están todas tus reseñas y horarios).
Phishing de proveedores: alguien suplanta a tu proveedor habitual de carne, pescado o bebida y te manda una factura con datos bancarios cambiados. Si pagas sin verificar, el dinero va a una cuenta del atacante.
Si el email te crea urgencia falsa ("verifica en 24h o tu cuenta será suspendida"), pide credenciales que ya tienes asociadas, o tiene faltas de ortografía, es phishing en el 95% de los casos. Llama por teléfono a la plataforma usando un número que TÚ busques en Google, no el que viene en el email.
El TPV de un restaurante es el objetivo más jugoso para un ciberdelincuente: pasa por él el cobro con tarjeta de cientos de clientes al mes. Si un TPV se infecta con malware tipo "RAM scraper", puede capturar números de tarjeta antes de que se encripten, y vender esos datos en la dark web.
Los TPV físicos antiguos (con sistema operativo Windows XP o similar) son especialmente vulnerables. Los TPV modernos en la nube son más seguros, pero solo si están bien configurados.
USB infectados: alguien (incluso un empleado bienintencionado) enchufa su pendrive personal al TPV para imprimir algo. El pendrive trae un virus que se instala silenciosamente.
Navegación en el TPV: el camarero usa el TPV para ver el resultado del partido, mirar el correo personal, o ponerse Spotify. Cada web visitada es una puerta de entrada.
Contraseñas por defecto: muchos TPV vienen con contraseña "admin/admin" o "1234". Si no se cambia, es como dejar la puerta abierta.
Software pirata: instalar "cracks" o software descargado de webs raras es una de las vías principales de infección.
La práctica más extendida —y más peligrosa— en hostelería pequeña es usar UNA sola red wifi para todo: clientes, TPV, cámaras, móvil del dueño, smart TV. Esto crea un agujero de seguridad enorme.
Si un cliente se conecta con su móvil infectado, el malware puede "saltar" de su móvil al TPV que está en la misma red. O al revés: si el TPV se infecta, puede atacar los dispositivos de los clientes y crearte un problema legal serio.
La inmensa mayoría de routers modernos permiten crear 2 redes wifi gratis: una "principal" y una "para invitados". Aprovecha esto.
Wifi principal (privada): solo TPV, cámaras, ordenador del negocio, móviles del equipo. Contraseña larga (mínimo 12 caracteres), que solo conozca el dueño/encargado.
Wifi para invitados (clientes): aislada de la principal (no se pueden ver entre sí). Contraseña que puedes cambiar cada semana o cada mes. Idealmente con un "captive portal" para registrar el uso (legalmente recomendable).
📖 Guía completa: reseñas falsas y extorsión por reseñas →
5. Reseñas falsas y reputación onlineLas reseñas en Google, TripAdvisor y similares pueden hacer o deshacer un restaurante en 2026. Y la guerra de reseñas falsas (positivas pagadas o negativas de competidores) es real.
Lo bueno: Google detecta cada vez mejor los patrones de bots. Lo malo: cuando te detectan haciendo reseñas falsas POSITIVAS, te pueden penalizar bajando tu posicionamiento de forma muy difícil de revertir.
Si solo tienes 1 hora esta semana para mejorar tu ciberseguridad, haz esto:
Campa&Go está construida pensando en ciberseguridad: contraseñas con bcrypt, 2FA opcional, sin almacenamiento de tarjetas (Stripe), cumplimiento RGPD por diseño. Si vas a usar software para tu restaurante, asegúrate de que el que elijas se toma esto en serio.
Ver herramientas Campa&Go →