Booking.com ha confirmado un ciberincidente que permitió a terceros no autorizados acceder a información de reservas de parte de sus usuarios. Como medida de contención, la plataforma ha procedido a restablecer de forma forzada los PIN de varias reservas actuales y pasadas y a notificar por correo electrónico a los clientes potencialmente afectados. Según la compañía, los datos de pago no se habrían visto comprometidos, aunque el impacto en la privacidad y el riesgo de phishing siguen siendo significativos.
Posición oficial de Booking.com sobre la fuga de datos
Los primeros avisos llegaron durante el fin de semana desde la dirección [email protected], un dominio legítimo de la empresa. En estos correos se informaba de que, a raíz del incidente, terceros podrían haber accedido a información personal asociada a ciertas reservas. Portavoces de Booking.com confirmaron el incidente al medio especializado The Register, indicando que habían detectado una “actividad sospechosa” vinculada al acceso no autorizado a datos de algunos huéspedes.
La compañía afirma haber bloqueado el acceso indebido, cambiado los PIN de reservas afectadas e iniciado un proceso de comunicación individual con los clientes. No obstante, no ha hecho público el alcance exacto de la brecha: se desconocen el número de cuentas afectadas, la duración del acceso ilícito y el vector inicial de compromiso, ya sea a través de sistemas internos o de hoteles colaboradores.
Qué información de reservas podría haberse visto comprometida
Aunque la empresa sostiene que los datos de tarjetas bancarias y de pago no han resultado afectados, la información asociada a una reserva de viaje es, por sí sola, extremadamente valiosa. En plataformas como Booking.com suele incluirse: nombre y apellidos del huésped, correo electrónico de contacto, fechas de estancia, nombre y dirección del alojamiento, tipo de habitación, número de viajeros y, en muchos casos, número de teléfono y comentarios especiales (por ejemplo, hora de llegada tardía o necesidades específicas).
Este conjunto de datos permite construir un perfil muy preciso del viajero: dónde estará, con quién, durante qué fechas y en qué tipo de establecimiento. Para un ciberdelincuente, esta información es ideal para ataques de ingeniería social, es decir, técnicas de manipulación psicológica que buscan que la víctima revele más datos, realice pagos indebidos o haga clic en enlaces maliciosos.
Dudas entre los usuarios: ¿notificación legítima o ataque de phishing?
Un elemento que ha generado desconfianza es que los avisos de la fuga se hayan enviado exclusivamente por correo electrónico. Muchos usuarios no han visto, al menos de forma inmediata, mensajes equivalentes dentro de la aplicación móvil o la versión web de Booking.com, lo que ha alimentado la sospecha de que pudiera tratarse de una campaña de phishing (correos fraudulentos que se hacen pasar por entidades legítimas).
La situación resulta paradójica porque la propia plataforma suele advertir a sus clientes de que no hagan clic en enlaces sospechosos ni faciliten datos sensibles por email o mensajería. En un contexto de incremento constante de campañas de phishing dirigidas a viajeros, la reacción cautelosa de los usuarios está plenamente justificada.
Riesgos principales: phishing dirigido e ingeniería social basada en datos reales
Phishing a partir de detalles auténticos de reservas
Cuando un atacante dispone de datos reales de una reserva (fechas, hotel, número de personas, tipo de habitación), puede construir mensajes extremadamente creíbles: avisos de “confirmación de check-in”, solicitudes de “verificación de tarjeta para evitar la cancelación” o supuestas notificaciones de “cambios en la política de la propiedad”. Estos correos suelen superar filtros básicos y resultan mucho menos sospechosos para el usuario medio.
En foros como Reddit ya se han reportado casos de viajeros que reciben mensajes fraudulentos con datos muy precisos de sus reservas. Aunque por ahora no existe una vinculación confirmada entre estos reportes y el incidente actual de Booking.com, el patrón coincide plenamente con el tipo de ataques observados tras otras fugas de información del sector turístico.
Suplantación de hoteles y del soporte de Booking.com
Con la información adecuada, los delincuentes pueden hacerse pasar por personal del hotel o por el servicio de atención al cliente de Booking.com. Es habitual que soliciten “confirmar la tarjeta de crédito”, pagar un “impuesto turístico obligatorio”, validar un “late check-in” o acceder a un enlace para “actualizar la reserva”. Según informes de referencia como el Verizon Data Breach Investigations Report 2023, la ingeniería social y el phishing siguen siendo uno de los vectores de ataque más eficaces, precisamente cuando se apoyan en datos personalizados.
Recomendaciones de ciberseguridad para usuarios de Booking.com y otras plataformas de viajes
1. Verificar siempre la legitimidad de los correos. En lugar de hacer clic en enlaces incluidos en mensajes, abra directamente la app o el sitio oficial de Booking.com y compruebe sus reservas y notificaciones desde allí. Desconfíe de cualquier correo que le presione para actuar con urgencia.
2. No introducir datos de tarjeta desde enlaces recibidos por email o mensajería. Ni Booking.com ni los hoteles deberían solicitar el número completo de la tarjeta y el CVV/CVC por correo electrónico. Realice pagos únicamente dentro de la aplicación o la web oficial, y revise que la dirección comience por https y el dominio sea correcto.
3. Activar la autenticación en dos pasos (2FA) siempre que sea posible. La 2FA añade una segunda capa de seguridad (normalmente un código enviado por SMS o generado por una app), lo que dificulta el acceso no autorizado incluso si alguien obtiene su contraseña. Complementa, pero no sustituye, a una buena gestión de credenciales.
4. Revisar periódicamente el historial de reservas y las comunicaciones. Compruebe cancelaciones inesperadas, nuevas reservas que usted no ha realizado o mensajes inusuales supuestamente enviados por el hotel. Ante la duda, contacte con el soporte de Booking.com únicamente desde canales oficiales.
5. Utilizar contraseñas únicas y robustas, gestionadas con un gestor de contraseñas. Reutilizar la misma clave en varios servicios incrementa el riesgo de credential stuffing (prueba masiva de credenciales robadas). Emplear combinaciones largas y únicas para cada plataforma reduce significativamente la superficie de ataque.
Los incidentes de seguridad en grandes plataformas de reservas no solo afectan a la reputación de las empresas implicadas, sino que deben servir como recordatorio de la importancia de una buena higiene digital. Adoptar hábitos como desconfiar de peticiones de datos por email, activar la autenticación en dos pasos, revisar la actividad de nuestras cuentas y mantener contraseñas únicas y robustas es hoy una parte esencial de cualquier viaje. Quienes refuercen su seguridad personal estarán mejor preparados para enfrentar futuras oleadas de phishing y minimizarán el impacto de posibles fugas de datos en servicios que utilizan a diario.
