Booking confirmó que la información personal de sus usuarios fue filtrada en un ciberataque tras detectar actividad no autorizada en su sistema. La compañía asegura que no se comprometió ninguna clase de datos financieros, pero el alcance real del incidente todavía no está claro. Hasta el momento, Booking.com no ha revelado el número total de afectados.
La información filtrada incluye nombres completos, correos electrónicos, números de teléfono, direcciones y detalles de reservas, incluidos mensajes privados intercambiados con alojamientos. La empresa reportó que contuvo el ataque, reseteó los PIN de las reservas comprometidas y notificó a los usuarios afectados.
El problema no es solo qué se filtró, sino para qué sirve
Un robo de información sin datos financieros puede parecer menor, pero en los últimos años, los ataques contra plataformas como Booking han evolucionado hacia esquemas de phishing mucho más difíciles de detectar.
El patrón funciona así: los atacantes acceden a cuentas de hoteles o sistemas internos, obtienen datos reales de reservas y luego envían mensajes desde canales aparentemente legítimos solicitando pagos o verificación de tarjetas.
El usuario recibe un mensaje que parece oficial, con su nombre, los detalles correctos de su reserva y un tono urgente. Esta táctica, documentada por eSecurity Planet, no necesita romper nada más: el propio usuario entrega los datos.
Booking ya advirtió que nunca solicita información financiera por email, WhatsApp o SMS.
Qué hacer si eres usuario, incluso si no recibiste aviso
Lo primero es asumir que los datos podrían estar expuestos. Las brechas de seguridad raramente revelan su alcance total de manera inmediata, y muchos usuarios afectados se enteran semanas después.
El consejo más importante en este momento es desconfiar de cualquier mensaje relacionado con una reserva activa o reciente. Si el mensaje incluye urgencia, un link externo o un cambio en el método de pago, no respondas: entra directamente a la app o web de Booking y verifica desde ahí. Contacta al hotel por sus canales oficiales si necesitas confirmación.
Cambiar la contraseña de Booking es obligatorio, pero no suficiente. Si esa misma contraseña se usa en el correo principal o en plataformas bancarias, el riesgo se multiplica. Y si aún no tienes activada la autenticación en dos factores, este es el momento.
El eslabón más débil no siempre es la app que usas
Este tipo de ataques pone en evidencia algo que muchos usuarios no consideran: la seguridad de una plataforma depende también de todos los actores conectados a ella. Hoteles con sistemas desactualizados, empleados víctimas de phishing, integraciones con terceros mal configuradas. Booking puede tener la infraestructura más robusta del sector y aun así quedar expuesta por una cuenta comprometida en un hotel pequeño.
El caso de Booking no es un incidente aislado. Es parte de una tendencia donde los ciberataques ya no apuntan solo a bases de datos masivas, sino a contexto: saber quién eres, dónde te hospedas y cuándo viajas. Con esa información, construir una estafa convincente es más sencillo de lo que parece.
Artículo coescrito con Juan Pablo Aguirre Osorio
Imagen: Foto de Jas Rolyn en Unsplash
