La información filtrada incluye nombres completos, correos electrónicos, números de teléfono, direcciones y detalles de reservas, incluidos mensajes privados intercambiados con alojamientos. La empresa reportó que contuvo el ataque, reseteó los PIN de las reservas comprometidas y notificó a los usuarios afectados.

El problema no es solo qué se filtró, sino para qué sirve

Un robo de información sin datos financieros puede parecer menor, pero en los últimos años, los ataques contra plataformas como Booking han evolucionado hacia esquemas de phishing mucho más difíciles de detectar.

El patrón funciona así: los atacantes acceden a cuentas de hoteles o sistemas internos, obtienen datos reales de reservas y luego envían mensajes desde canales aparentemente legítimos solicitando pagos o verificación de tarjetas.

El usuario recibe un mensaje que parece oficial, con su nombre, los detalles correctos de su reserva y un tono urgente. Esta táctica, documentada por eSecurity Planet, no necesita romper nada más: el propio usuario entrega los datos.

Booking ya advirtió que nunca solicita información financiera por email, WhatsApp o SMS.

Qué hacer si eres usuario, incluso si no recibiste aviso

Lo primero es asumir que los datos podrían estar expuestos. Las brechas de seguridad raramente revelan su alcance total de manera inmediata, y muchos usuarios afectados se enteran semanas después.

El consejo más importante en este momento es desconfiar de cualquier mensaje relacionado con una reserva activa o reciente. Si el mensaje incluye urgencia, un link externo o un cambio en el método de pago, no respondas: entra directamente a la app o web de Booking y verifica desde ahí. Contacta al hotel por sus canales oficiales si necesitas confirmación.

Cambiar la contraseña de Booking es obligatorio, pero no suficiente. Si esa misma contraseña se usa en el correo principal o en plataformas bancarias, el riesgo se multiplica. Y si aún no tienes activada la autenticación en dos factores, este es el momento.

El eslabón más débil no siempre es la app que usas

Este tipo de ataques pone en evidencia algo que muchos usuarios no consideran: la seguridad de una plataforma depende también de todos los actores conectados a ella. Hoteles con sistemas desactualizados, empleados víctimas de phishing, integraciones con terceros mal configuradas. Booking puede tener la infraestructura más robusta del sector y aun así quedar expuesta por una cuenta comprometida en un hotel pequeño.

El caso de Booking no es un incidente aislado. Es parte de una tendencia donde los ciberataques ya no apuntan solo a bases de datos masivas, sino a contexto: saber quién eres, dónde te hospedas y cuándo viajas. Con esa información, construir una estafa convincente es más sencillo de lo que parece.

Artículo coescrito con Juan Pablo Aguirre Osorio

Imagen: Foto de Jas Rolyn en Unsplash

A medida que las transacciones migran a canales digitales, también lo hacen los riesgos. Las contraseñas tradicionales ya no son suficientes y las organizaciones están incorporando nuevas capas de seguridad que combinan biometría, comportamiento y análisis de datos para identificar a cada persona en tiempo real.

Para entender cómo funciona este cambio y qué implicaciones tiene para la industria, ENTER.CO entrevistó a Sebastián Stranieri, fundador y CEO de VU, una compañía que desarrolla soluciones de identidad digital utilizadas por bancos y organizaciones en América Latina.

En medio de tanto ruido sobre transformación financiera, cambios regulatorios y tecnología, ¿qué es realmente narrativa y qué está cambiando de forma estructural en el sistema financiero?

Lo que está cambiando de fondo —tanto en el mundo financiero como en el de la seguridad— es la capacidad de acelerar la entrega de nuevas funcionalidades. Desde nuestra perspectiva, especialmente en identidad digital, estos cambios están mejorando significativamente la experiencia de usuario.

Hoy es mucho más sencillo que un equipo de negocio se siente con un área técnica y diga: “quiero esto”. Antes, muchas ideas se perdían en un documento. Ahora es fácil crear prototipos que terminan convirtiéndose en productos reales.

Pero más allá de la velocidad, lo estructural es que la identidad digital se ha vuelto una prioridad. Todos, varias veces al día, usamos usuarios, contraseñas, credenciales o biometría facial para acceder a servicios. Toda esta tecnología permite generar un contexto mucho más amplio del usuario: entender cómo transacciona, cómo se comporta y crear modelos de seguridad personalizados.

Esto también es positivo para los reguladores. Históricamente, implementar una nueva normativa podía tardar seis meses o más. Hoy existe la expectativa —y la posibilidad real— de que esos tiempos se acorten drásticamente.

Al mismo tiempo, la competencia entre compañías será mucho más intensa, porque lo digital es cada vez más fácil de replicar. El verdadero diferencial será lo humano. Y, como mencioné en mi charla, el contexto del fraude se amplía enormemente.

VU nace como una compañía de ciberseguridad. ¿Cuál fue el origen real de la empresa?

En realidad, VU nació por una experiencia muy concreta. Un día acompañé a mi abuela a una oficina de gobierno para hacer la “fe de vida”, un trámite necesario para que pudiera seguir cobrando su pensión. Era un proceso completamente manual, lento y presencial.

Después de varias horas, pensé: esto se tiene que poder resolver con tecnología. Así nació VU.

Diecisiete años después, puedo decir que el sistema de identidad digital de Argentina funciona con nuestra tecnología. Hoy mi abuela hace su fe de vida desde el teléfono, usando su tarjeta de débito, sobre una infraestructura crítica de gestión de identidad digital que desarrollamos en VU. La tecnología verifica que la persona sea quien dice ser, que esté viva, y genera el certificado necesario sin que tenga que moverse de su casa.

¿Siempre estuvieron enfocados exclusivamente en identidad digital o ese foco fue evolucionando con el tiempo?

Desde el inicio fuimos una empresa de identidad digital y seguimos siéndolo. Nuestra visión es que todas las personas tienen un ciclo de vida digital.

Ese ciclo incluye:
Registro en un servicio
Operación dentro de ese servicio
Recuperación de credenciales o gestión de incidentes (fraude, accesos)
Gestión de datos

Este ciclo ocurre en bancos, fintech, empresas de pagos, compañías de crédito o cualquier entorno digital. Nosotros aseguramos todo ese proceso.

La ciberseguridad y la prevención del fraude funcionan como la medicina: hay médicos generalistas y especialistas. Nosotros somos especialistas en identidad digital y fraude, y ayudamos a las compañías a resolver esa problemática de extremo a extremo.

Por ejemplo, entidades como Compensar en Colombia usan nuestro sistema para verificar identidad con doble factor de autenticación, gestionar credenciales, contraseñas y biometría.

Muchos sistemas aún usan validaciones basadas en preguntas históricas. La biometría avanza, pero también genera resistencia. ¿Cómo se equilibra seguridad y comodidad del usuario?

La biometría es solo uno de los factores. No creemos en una “bala de plata”.

Una persona no es solo su rostro o su huella: es su voz, el teléfono que usa, los lugares desde donde opera, su computadora, su comportamiento digital.

Nosotros construimos lo que llamamos una online persona. Esa identidad contextual le permite a una compañía entender si una transacción es coherente o no.

No es lo mismo que alguien acceda desde su dispositivo habitual que desde un teléfono nuevo, en otro país, con un patrón de comportamiento distinto. En función de ese contexto, se activan diferentes políticas de seguridad.

El uso de criptomonedas ha crecido en todo el mundo, tanto por personas como por empresas. Su principal atractivo es que permiten enviar y recibir pagos sin intermediarios, con costos bajos y rapidez, incluso entre países. Aunque no reemplazan al dinero físico, representan una nueva forma de manejar activos, especialmente en entornos digitales.

Criptomonedas más conocidas y su valor actual

En el mercado existen cientos de criptomonedas, pero algunas destacan por su uso y valor. Bitcoin fue la primera y sigue siendo la más reconocida. Le siguen Ethereum, Solana, Dogecoin y XRP, entre otras. Todas estas monedas funcionan bajo el mismo principio; su valor no es fijo y cambia constantemente según la oferta y la demanda en tiempo real.

Por ejemplo, al 16 de julio de 2025, un Bitcoin tenía un valor aproximado de 119 mil dólares, según datos de la plataforma CoinGecko. Ethereum, la segunda más utilizada, rondaba los 3 mil 250 dólares. Otras monedas como Solana o XRP también mostraban movimientos activos en los mercados digitales. Estos precios pueden cambiar en cuestión de minutos, lo que convierte a las criptomonedas en activos de alta volatilidad.

¿Cómo se compran y almacenan?

Para comprar criptomonedas, es necesario registrarse en una plataforma especializada, también conocida como exchange. Algunas de las más reconocidas a nivel internacional son Binance, Kraken, Coinbase y Bit2Me. Estas permiten adquirir monedas digitales como Bitcoin o Ethereum de forma segura, con distintos métodos de pago y funciones de custodia. Por ejemplo, Kraken recientemente obtuvo licencia para operar bajo la regulación europea MiCA, y Bit2Me está regulada por el Banco de España.

Te puede interesar: Millennials, la generación que más invierte en criptomonedas ¿En qué ciudades se mueve más el mercado?

Las criptomonedas adquiridas se almacenan en monederos digitales, que pueden estar conectados a internet (monederos calientes) o funcionar sin conexión (monederos fríos). Los primeros son más prácticos para uso frecuente; los segundos ofrecen mayor seguridad frente a robos o ciberataques, ya que no están expuestos en línea.

Aunque todavía no son comunes en las compras del día a día, ya es posible utilizar criptomonedas para adquirir productos o servicios en tiendas en línea y en algunos comercios físicos. También se estudia su aplicación en procesos financieros más amplios, como inversiones, contratos digitales o transferencias internacionales de activos.

Riesgos, fraudes y acciones legales

Este tipo de tecnología no está libre de riesgos. Las criptomonedas han sido utilizadas en algunas operaciones ilegales debido a la facilidad de mover fondos sin intermediarios. Un ejemplo reciente ocurrió en Estados Unidos, donde la DEA y el FBI incautaron más de 10 millones de dólares en criptomonedas presuntamente vinculadas al cártel de Sinaloa. Esta acción forma parte de un esfuerzo más amplio por reforzar el control sobre operaciones sospechosas en el entorno digital.

Además, existen fraudes comunes asociados al mundo cripto. Algunos incluyen sitios falsos que prometen ganancias rápidas, esquemas piramidales disfrazados de inversiones legítimas o suplantaciones de figuras públicas para ganar confianza. Por eso es fundamental verificar la información, usar plataformas seguras y desconfiar de cualquier oferta que prometa beneficios garantizados o poco claros.

Las criptomonedas forman parte de una transformación tecnológica que está cambiando la forma en que las personas se relacionan con el dinero. Como toda herramienta nueva, su uso requiere aprendizaje, precaución y criterio. Entender cómo funcionan y conocer los riesgos asociados es esencial para participar de forma segura en este espacio digital en evolución.

Imagen: Genrada con IA / ChatGPT

La segunda clave será reemplazada

Hace varios años Bancolombia lanzó la segunda clave. Con esta clave, que debe ser diferente a la clave principal del usuario, es posible hacer transacciones electrónicas. Por ejemplo, esta se usa para transferir dinero entre cuentas así como hacer pagos a través de PSE o Facturanet.

Hasta el momento, esta clave debía cambiarse de manera periódica. Esto implicaba que el usuario la memorizara, con el riesgo de que se le olvidara y se bloqueara.

De acuerdo con cifras de Bancolombia, cerca del 35% de sus clientes utilizan una segunda clave. Esto quiere decir que estas personas utilizan los canales electrónicos para hacer sus transacciones y pagos.

Qué es la clave dinámica de Bancolombia

Para quien ha utilizado la autenticación de dos pasos en sus cuentas de correo o Facebook, entre otros, no será difícil entender el concepto. La clave dinámica es una clave temporal que se asigna a determinada transacción. Después de un tiempo determinado, que puede ser un minuto, esta cambia y se debe usar la nueva clave.

Este comportamiento permite tener mayor seguridad. Pues será necesario que el usuario tenga su teléfono a la mano o acceso a su correo electrónico.

La clave dinámica de Bancolombia debe ser activada por el usuario a través de la sucursal virtual o la aplicación Personas. Si esta se activa por la sucursal virtual, se podrá elegir si se quiere recibir esta clave por medio de un SMS o un correo electrónico. Si esta se activa en la aplicación móvil, será este medio que deberá usarse para conocer la clave dinámica.

Cómo activar la clave dinámica

Si quieres activar la clave dinámica de Bancolombia a través de la aplicación móvil deberás tener la versión más reciente de esta. Al abrir esta app, verás en la esquina inferior izquierda el ícono del candado y el texto clave dinámica. Al tocar esta opción podrás administrar esta clave. Si es la primera vez que ingresas deberás inscribirla siguiendo las instrucciones.

Si quieres inscribir la clave dinámica a través de la sucursal virtual deberás ingresar con tus datos. Luego clicar en Seguridad e ir al apartado de Clave Dinámica. Después de seguir los pasos y confirmar tu correo electrónico y número de celular podrás elegir qué canal deseas usar para recibir esta clave. Es decir, puede llegar por SMS o por correo electrónico.

¿Qué pasa si te roban el celular?

De acuerdo con nuestra conversación con Luz María Velásquez, vicepresidenta de Personas y Pymes Colombia y Mauricio Botero, vicepresidente de Servicios Administrativos, en caso de que te roben el celular podrás bloquear esta clave dinámica desde otro smartphone con la aplicación o desde la sucursal virtual.

Así mismo, una vez tengas un nuevo smartphone podrás inscribir una nueva clave dinámica y listo.

Por último, Botero afirma que se podrán registrar hasta cinco claves dinámicas por dispositivo en caso de que así lo requieras. Se espera que en un lapso de dos a tres meses la mayoría de los usuarios de segunda clave hayan migrado al nuevo sistema de clave dinámica. De hecho, según Velásquez, desde su lanzamiento hace una semana se han registrado más de 30.000 usuarios.

Si necesitas mayor información, Bancolombia habilitó una página con videos y tutoriales que explican a fondo cómo funciona este nuevo servicio.

Por último, no sobra recordar que los usuarios de servicios financieros debemos ser muy cuidadosos con correos electrónicos y llamadas engañosos que se hacen pasar por nuestro banco. Hace un tiempo hicimos una nota sobre qué hacer si crees que alguien está intentando un ataque de phishing contigo.

Imágenes: Bancolombia. 

El más reciente ataque masivo de phishing contra clientes de Bancolombia, en el que a través de un correo electrónico fraudulento intentan recoger información financiera de los usuarios de la entidad, ha vuelto a poner sobre la mesa los riesgos a los que nos enfrentamos los usuarios del sistema financiero cuando manejamos nuestra información en internet. Y es que aunque en repetidas ocasiones los mismos bancos y compañías de seguridad cibernética envían consejos para que los usuarios mantengan segura su información, el nivel de los ataques también evoluciona, lo que obliga a que los usuarios seamos más precavidos frente a correos electrónicos o sitios web sospechosos.

A través de Twitter, Bancolombia ha entregado algunas recomendaciones a sus usuarios para que eviten ser víctimas de los ataques de phishing (una modalidad en la que se busca obtener información financiera de forma fraudulenta y para fines delictivos). La primera acción a tomar cuando reciban un correo sospechoso de Bancolombia es reenviarlo a la dirección correosospechoso@bancolombia.com.co.

De acuerdo con el gerente de gobierno y estrategia de seguridad de Bancolombia, Andrés Felipe Castillón, este correo de alerta permitió que durante 2016 Bancolombia identificara 10.681 posibles ataques de phishing. Además, un total de 1.337 sitios web fraudulentos fueron desmontados el año pasado gracias a las denuncias de los usuarios del banco.

Luego de reenviar el correo a Bancolombia, es útil acceder al sitio web de seguridad que la entidad financiera tiene a disposición de sus clientes. En este espacio la compañía brinda consejos de seguridad para los diferentes canales a través de los cuales atiende a sus clientes (internet, aplicaciones móviles, sucursales y demás).

Bancolombia identificó 10.681 ataques de phishing durante 2016. 

Un viejo consejo que aún se mantiene útil es el de desconfiar de cualquier mensaje en el que nos soliciten ingresar nuestras claves en sitios web que supuestamente son del banco. Las entidades financieras advierten que nunca solicitan las claves de sus usuarios a través de medios electrónicos.

La Policía Nacional cuenta también con un Centro Cibernético Policial, un portal web en el que brinda información relacionada con riesgos en la red y en el que podemos denunciar incidentes o situaciones sospechosas en internet.

La compañía de seguridad cibernética Eset recomienda que quienes hayan sido víctimas de phishing, además de contactar a su entidad financiera para el bloqueo de los productos, lleven a cabo el cambio de sus credenciales de acceso directamente desde el sitio web del banco.

Imágenes: Christiaan Colen, Bankenverband – Bundesverband deutscher Banken (vía Flickr)

En general, hacer transacciones bancarias con tarjeta de crédito es bastante seguro, siempre y cuando esta tenga chip. Según cifras de Asobancaria, sólo 1,5 de cada 10.000 transacciones son identificadas como fraudulentas.

Sin embargo, siempre es buena idea minimizar ese riesgo. Aval Pay, la aplicación del Grupo Aval para Android e iOS que te permite hacer compras en más de 20 establecimientos en toda Colombia solo con tu celular, te permite asegurar tus transacciones de varias maneras.

En primer lugar, la app tiene altos estándares de privacidad y seguridad. El pin para hacer compras es único, y se renueva cada vez que usas la tarjeta. Si alguien ‘chuza’ y descifra la comunicación entre el datáfono y el banco, no va a poder hacer nada con los datos, porque esa clave no se puede volver a usar.

Por otra parte, no tener que cargar tus tarjetas de crédito a ningún lugar minimiza muchos riesgos de seguridad. Te evitas el riesgo de sufrir un ‘cambiazo’, un fraude de la vieja escuela en el que, según la Asobancaria, el ladrón te cambia la tarjeta que tienes en la mano sin que te des cuenta.

Si tuvieras la mala suerte de ser víctima de un ‘paseo millonario’ o del robo de tu billetera, no tener tus tarjetas de crédito a la mano evita que sean usadas para cometer un robo o una compra no deseada.

Además, la aplicación tiene varias capas de seguridad que le permiten asegurarse que solo el dueño de la tarjeta puede activarla para hacer compras. Para inscribirla en la app, debes registrar el monto de dos microtransacciones, una cifra que solo puedes conocer si tienes acceso al extracto de la misma. Eso asegura que no sea posible usar tarjetas de terceros para hacer compras.

Otras prácticas de seguridad

Si acompañas el uso de Aval Pay con otras buenas prácticas de seguridad, lograrás disminuir considerablemente el riesgo de ser víctima de un robo o intento de fraude. ¿Cómo cuidar clave de acceso a la app, esa que debes digitar cada vez que quieras hacer un pago? Debes memorizarla, evitar anotarla en cualquier lugar y procurar que sea distinta a otras claves que uses, como la del celular o la de la tarjeta débito.

En tu dispositivo móvil, lo ideal es que utilices los mecanismos de desbloqueo que haya implementado el fabricante –‘pin’, patrones de desbloqueo o huellas digitales– y que sepas usar muy bien los servicios de borrado y bloqueo remoto que ofrecen tanto iOS y Android. Así, si te roban o pierdes tu smartphone, podrás estar tranquilo de que la información de tu tarjeta estará a salvo.

Imagen: watcharakun (vía Shutterstock).

____

*Aval Pay no es compatible con tarjetas de Bancolombia.

Muchos de los comentarios de los lectores de ENTER.CO hacen referencia a cómo las empresas de internet están recolectando nuestros datos y el posible uso de ellos. Y aunque existe ese temor, el tema también tiene otro lado, uno positivo. Según Reuters, el FBI tiene un equipo de personas revisando Twitter, Facebook y otras redes sociales para detectar posibles fraudes en la bolsa de valores.

Dos de los agentes, April Brooks y David Chaves, dijeron que es complicado predecir la próxima oleada de fraude financiero, pero agregaron que seguramente los avances de la tecnología y el social media tendrán mucho que ver.

“Puedo decir que la tecnología, Twitter y el ‘social media’ van a ser protagonistas. Cualquier tecnología que sea nueva o que hoy no exista, seguramente será usada por estos individuos para explotar el sistema”, explicó Brooks en Reuters TV, durante la Reuters Investment Outlook 2013 Summit.

Los dos agentes del FBI están a cargo de la Operación Perfect Hedge, cuya misión es encontrar a los fondos de inversión que estén haciendo negociaciones con información privilegiada. Ya han arrestado y condenado a más de 60 personas involucradas -entre traders, consultores y analistas- en este tipo de operaciones prohibidas por la ley.

The Next Web asegura que no es la primera vez que el FBI usa las redes sociales para recolectar inteligencia. La entidad ya estaba desarrollando una aplicación para analizar en tiempo real el contenido en las redes sociales más importantes para prevenir ataques contra la seguridad nacional.

Algunos de los encargados de los hedge funds le dijeron a Reuters que la pesquisa es una forma de aliviar la presión por las pocas condenas de los responsables de la crisis de 2008. El FBI aseguró que ese no es el caso, ya que pueden haber más responsables pero no existen las leyes para llevarlos a un proceso judicial.