Booking.com notificó a un grupo no revelado de usuarios que un incidente de seguridad permitió a terceros no autorizados acceder a información asociada a algunas de sus reservas. La compañía explicó que detectó “actividad cuestionable” vinculada a actores externos que lograron ver ciertos datos de huéspedes, lo que la llevó a intervenir de inmediato. Como medida de contención, se cambiaron los PIN asociados a las reservas afectadas y se envió una comunicación directa a los clientes involucrados.
Según la información entregada por la empresa, no habría pruebas de que se hayan comprometido datos financieros como números completos de tarjetas de pago. Sin embargo, los atacantes pudieron haber accedido a detalles de la reserva —fechas, alojamiento, servicios—, además de nombres, direcciones de correo electrónico, domicilios y números de teléfono vinculados a esos viajes. También podrían haberse expuesto mensajes enviados a través de la plataforma entre huéspedes y establecimientos.
La firma, con sede en Ámsterdam y que ofrece más de 30 millones de opciones de alojamiento en todo el mundo, ya venía enfrentando un aumento sostenido de estafas dirigidas a sus usuarios. Investigaciones previas mostraron que ciberdelincuentes han recurrido a estrategias como comprometer las cuentas de hoteles mediante malware y luego, desde el propio portal de Booking.com, enviar mensajes falsos para solicitar pagos por adelantado.
«Al descubrir la actividad, tomamos medidas para contener el problema», decía. «Hemos actualizado el número PIN de estas reservas e informado a nuestros invitados.»
En esos casos, los clientes reciben solicitudes aparentemente legítimas para “verificar” el método de pago o completar un pre-autorización, lo que deriva en cobros abusivos que no tienen relación con la reserva original. El nuevo incidente refuerza la necesidad de que los usuarios extremen precauciones, verificando siempre la autenticidad de los mensajes y evitando compartir datos sensibles a través de enlaces externos. Booking.com sostiene que sigue trabajando con expertos en ciberseguridad para reforzar sus defensas y asistir a los establecimientos asociados, cuya seguridad suele ser el eslabón más débil de la cadena.