Por Canuto Booking.com confirmó que actores no autorizados pudieron acceder a datos personales y de reservas de algunos clientes, en un incidente que ya estaría siendo aprovechado para campañas de phishing dirigidas por mensajería.
***
- Booking.com dijo que terceros no autorizados pudieron acceder aparte de la información de reserva de algunos huéspedes.
- Entre los datos expuestos figuran nombres, correos electrónicos, direcciones físicas, teléfonos y detalles de reservas.
- Un cliente afectado relató haber recibido un mensaje de phishing por WhatsApp con información real de su reservación.
Booking.com confirmó que hackers pueden haber accedido a datos personales de clientes, incluidos nombres, correos electrónicos, direcciones físicas, números de teléfono y detalles de reservas. La empresa notificó a usuarios durante la última semana, luego de detectar actividad sospechosa vinculada con terceros no autorizados.
El caso es relevante porque no se trata solo de una filtración potencial de información básica. Según los reportes conocidos hasta ahora, los datos comprometidos también incluirían cualquier cosa que el cliente haya compartido con el alojamiento, lo que amplía el riesgo de fraude, suplantación y campañas de ingeniería social altamente personalizadas.
En términos prácticos, este tipo de incidente puede afectar la confianza en plataformas de viajes que centralizan grandes volúmenes de datos sensibles. Cuando un atacante obtiene información de reservas reales, el siguiente paso suele ser utilizarla para construir mensajes falsos que parecen legítimos y así engañar a las víctimas.
La confirmación de la empresa se produjo después de que varios usuarios publicaran en línea avisos de seguridad recibidos directamente por Booking.com. Una de esas notificaciones, compartida por un usuario en Reddit, señalaba que terceros no autorizados pueden haber podido acceder a cierta información de reserva asociada con su reservación.
Qué datos fueron comprometidos
De acuerdo con el contenido de la notificación enviada a clientes, la información potencialmente expuesta incluye nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono y detalles de reservas. El mensaje también advertía sobre la posible exposición de cualquier información que el huésped hubiera compartido con el alojamiento.
Ese último punto es especialmente delicado, porque los intercambios entre cliente y propiedad pueden contener solicitudes especiales, horarios de llegada, datos logísticos e incluso otra información personal contextual. Aunque la empresa aseguró al diario británico The Guardian que no se accedió a información financiera, el resto de los datos sigue siendo valioso para atacantes.
En el ecosistema digital actual, no hace falta robar tarjetas de pago para monetizar una intrusión. Datos de contacto y de reservas pueden ser suficientes para lanzar fraudes convincentes, redirigir a las víctimas a enlaces maliciosos o inducir pagos falsos relacionados con hospedaje, transporte o verificación de identidad.
Por ahora, Booking.com no ha informado públicamente cuántos clientes fueron afectados por este incidente ni cuántas personas recibieron la notificación. Esa falta de precisión limita la evaluación del alcance real del problema, aunque la empresa sí reconoció que la intrusión impactó al menos a algunos de sus huéspedes.
Las señales de phishing ya aparecieron
Uno de los elementos más preocupantes del caso es que la información presuntamente robada ya habría sido usada con fines maliciosos. El usuario que publicó la notificación en Reddit dijo a TechCrunch que dos semanas antes recibió un mensaje de phishing por WhatsApp que incluía detalles reales de la reserva e información personal.
Ese detalle sugiere que los atacantes no solo lograron acceder a datos de clientes, sino que además los están explotando activamente para dirigir ataques más creíbles. Cuando un mensaje fraudulento incorpora la fecha del viaje, el nombre del alojamiento o información de contacto correcta, la probabilidad de éxito aumenta de forma considerable.
Para los usuarios, el principal riesgo es confundir estas comunicaciones con mensajes auténticos de la plataforma o del hotel. En muchos fraudes de este tipo, el atacante solicita un nuevo pago, la verificación urgente de una tarjeta o el ingreso a una página falsa para confirmar la reservación.
Esto también encaja con una tendencia más amplia en ciberseguridad. Los delincuentes suelen preferir accesos que les permitan explotar la confianza de la víctima con rapidez, en lugar de buscar únicamente información financiera directa. Los datos contextuales de viajes son muy útiles para ese propósito.
Qué dijo Booking.com
La portavoz de Booking.com, Courtney Camp, dijo a TechCrunch que la empresa detectó cierta actividad sospechosa relacionada con terceros no autorizados que pudieron acceder aparte de la información de reserva de algunos de sus huéspedes. Añadió que, una vez descubierta la actividad, se tomaron medidas para contener el problema.
Según la portavoz, la empresa actualizó el número PIN de esas reservas e informó a los huéspedes involucrados. Esa respuesta apunta a limitar usos posteriores de la información comprometida, aunque no aclara cómo se produjo exactamente el acceso ni si el incidente estuvo relacionado con sistemas propios, credenciales robadas o terceros integrados en la operación.
La compañía declinó responder preguntas específicas sobre la escala del incidente. Entre ellas, cuántos clientes fueron afectados y posteriormente notificados. Esa omisión deja abiertas preguntas relevantes sobre la magnitud del evento y sobre si el problema quedó plenamente contenido o aún puede generar nuevas campañas de phishing.
Hasta el momento, la información pública disponible se centra en la naturaleza de los datos comprometidos y en las medidas inmediatas anunciadas por la empresa. No se han divulgado detalles técnicos adicionales que permitan conocer el vector de ataque con certeza.
Un antecedente que agrega contexto
El incidente también revive preocupaciones previas alrededor del ecosistema de hoteles y plataformas de reservas. En 2024, TechCrunch reportó que hackers habían infectado computadoras de varios hoteles con spyware de consumo, también conocido como stalkerware.
En uno de esos casos, una víctima había iniciado sesión en su portal de administración de Booking.com cuando el programa PcTattleTale tomó una captura de pantalla. Ese antecedente no prueba que el episodio actual tenga el mismo origen, pero sí muestra que el entorno operativo conectado a la plataforma ha sido objetivo de ataques en el pasado.
Para una empresa con presencia global, ese contexto es importante. Según el sitio web de Booking.com, unos 6,8 mil millones de clientes han reservado habitaciones de hotel y alojamientos desde 2010. Ese volumen convierte a la firma en un objetivo especialmente atractivo para ciberdelincuentes que buscan escalar campañas de fraude.
En plataformas de ese tamaño, incluso un incidente limitado puede tener efectos significativos. Un pequeño porcentaje de cuentas expuestas puede traducirse en una base enorme de víctimas potenciales, sobre todo si los atacantes cuentan con datos suficientemente específicos como para personalizar sus mensajes.
Implicaciones para usuarios y para la industria
Más allá del caso puntual, el episodio vuelve a poner presión sobre la seguridad de las plataformas de intermediación digital. Servicios como Booking.com concentran información de identidad, itinerarios y comunicaciones privadas entre viajeros y alojamientos, una combinación muy sensible desde el punto de vista del fraude.
Para los usuarios, la principal recomendación práctica es desconfiar de mensajes inesperados relacionados con pagos, cambios de reserva o verificaciones urgentes. También conviene revisar si la comunicación proviene de canales oficiales y evitar abrir enlaces enviados por aplicaciones de mensajería cuando exista cualquier duda.
Para la industria, el caso ilustra cómo una intrusión puede extender sus efectos más allá del acceso inicial a datos. El verdadero daño puede aparecer después, cuando la información robada se convierte en campañas de phishing dirigidas, reputación dañada y pérdida de confianza del consumidor.
Por ahora, Booking.com ya confirmó el acceso no autorizado aparte de la información de reserva de algunos huéspedes y sostuvo que no hubo acceso a información financiera. Sin embargo, mientras no se conozca cuántos clientes fueron alcanzados y cómo ocurrió la brecha, el incidente seguirá generando preguntas sobre el nivel real de exposición.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Kraken denuncia intento de extorsión y asegura que no hubo brecha ni fondos en riesgo
Empresas
Microsoft estaría buscando rehacer Copilot con la lógica agéntica de OpenClaw
Empresas
Meta entrena un clon de IA de Mark Zuckerberg para reemplazarlo en reuniones
Empresas