Filtración en Booking.com: cómo proteger tus datos ahora

Ciberdelincuentes acceden a información de reservas en Booking.com para realizar estafas dirigidas. ESET advierte sobre el phishing y brinda claves de protección.

El entorno digital de los viajes ha sufrido un importante sacudida tras confirmarse un incidente de seguridad que afecta a una de las plataformas más grandes del mundo. Booking.com ha reconocido un acceso no autorizado a datos de sus usuarios, una situación que ha sido aprovechada rápidamente por ciberdelincuentes para desplegar campañas de fraude altamente sofisticadas. Este incidente no representa una intrusión en los sistemas centrales de la empresa, pero sí el compromiso de información específica de las reservas a través de terceros, lo que permite a los atacantes diseñar mensajes con un nivel de personalización alarmante.

El modus operandi: ingeniería social y datos reales

Lo que hace que este evento sea particularmente peligroso es el uso de la ingeniería social. A diferencia de los ataques de phishing genéricos, aquí los estafadores manejan datos precisos. “Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes”, explicó Sage Hunter, responsable del área de comunicaciones de Booking.com.

Los delincuentes utilizan nombres completos, fechas exactas de estadía y el nombre del hotel para contactar a las víctimas vía WhatsApp o correo electrónico. Bajo una falsa sensación de urgencia, solicitan pagos adicionales o verificaciones de tarjetas de crédito para evitar la cancelación de la reserva, a veces dando plazos de apenas unas horas. Esta técnica, conocida como phishing de seguimiento, es mucho más difícil de detectar debido a que la información presentada es verídica.

Alcance y respuesta de la plataforma

Ante la detección de estas actividades, Booking.com tomó medidas de contención inmediatas. La acción principal fue forzar la redefinición de todos los códigos PIN de las reservas afectadas para impedir manipulaciones posteriores por parte de los atacantes. Aunque no hay evidencia de que los datos financieros hayan sido comprometidos directamente, el riesgo persiste debido a la capacidad de los estafadores para engañar al usuario y obtener esos datos de forma voluntaria mediante enlaces fraudulentos.

La compañía ha asegurado que notificará individualmente a cada usuario afectado. Sin embargo, la vigilancia debe ser extrema. Según el Eset Security Report 2025, el 27% de las organizaciones en América Latina sufrió un ciberataque en el último año, lo que demuestra que estos incidentes son parte de un panorama regional complejo donde menos de la mitad de las empresas utiliza cifrado de datos.

Recomendaciones críticas para los usuarios

Los especialistas de ESET, compañía líder en detección proactiva de amenazas, han compartido una serie de pasos fundamentales para mitigar riesgos:

1. Actualización de credenciales: Es imperativo realizar un cambio de contraseñas en la plataforma. Si se utiliza la misma clave en otros servicios, esta debe ser modificada también allí.
2. Activar la autenticación de doble factor: El uso de MFA (autenticación multifactor) es la barrera más eficaz. Incluso si el atacante posee la contraseña, no podrá ingresar sin el código adicional.
3. Gestión exclusiva en la App: Cualquier trámite financiero o pago debe realizarse únicamente a través de la sección «Mis reservas» en el sitio web oficial o la aplicación, nunca mediante enlaces externos enviados por chat.
4. Desconfiar de la urgencia: Si recibe un mensaje presionando por un pago bajo amenaza de cancelación inmediata, sospeche.
5. Verificación independiente: Si tiene dudas, contacte al hotel directamente usando un número obtenido de fuentes confiables como Google Maps o la web oficial del alojamiento, evitando los datos de contacto proporcionados en el mensaje sospechoso.

La seguridad digital hoy exige un enfoque progresivo. Como señala la firma de seguridad, el uso de herramientas que combinen la Inteligencia Artificial con la experiencia humana es vital para anticiparse a estas amenazas emergentes.

*En la creación de este texto se usaron herramientas de inteligencia artificial.