Booking.com ha confirmado que terceros no autorizados accedieron a datos de sus clientes, lo que ha desencadenado una oleada de estafas dirigidas contra viajeros. Según un correo electrónico enviado a los usuarios afectados, la compañía detectó "cierta actividad sospechosa" relacionada con el acceso no autorizado a información de los usuarios.
La brecha de seguridad dejó expuestos nombres, direcciones, correos electrónicos, números de teléfono y detalles específicos de las reservas. Aunque la empresa no ha revelado el número total de usuarios afectados, aclaró que los datos financieros no formaron parte de la filtración.
Como medida de respuesta ante la intrusión, Booking.com ha obligado a restablecer los códigos PIN de las reservas, tanto para estancias actuales como pasadas. La compañía se está comunicando directamente con los usuarios afectados a través de su dirección oficial noreply@booking.com.
Los estafadores utilizan los detalles de las reservas como arma
Informes de usuarios en Reddit indican que los atacantes ya están poniendo en marcha la información robada. Un usuario afectado relató haber recibido un mensaje de WhatsApp con detalles exactos de su reserva, lo que demuestra que los delincuentes están usando los datos sustraídos para generar confianza y dar veracidad a sus esquemas fraudulentos.
Expertos en seguridad también advierten sobre variantes de "smishing", en las que los atacantes envían mensajes SMS con enlaces maliciosos. Estos mensajes suelen alegar que una reserva está pendiente o que se requiere una acción inmediata para evitar la cancelación de la misma.
Este incidente sigue un patrón de amenazas crecientes contra la plataforma. El diario The Guardian informó que Booking.com ha enfrentado un número cada vez mayor de estafas incluso dentro de su propia aplicación móvil. Ataques previos incluyeron mensajes enviados a través de la propia plataforma, advirtiendo a los usuarios que sus reservas estaban en riesgo para engañarlos y lograr que entregaran sus credenciales financieras.
A principios de 2025, la firma de ciberseguridad Eset identificó la técnica "ClickFix", un método mediante el cual se engaña a los usuarios para que ejecuten comandos maliciosos en Windows y así comprometer sus sistemas. Esta táctica fue integrada posteriormente en campañas de phishing que utilizaban la imagen de marca de Booking.com.
Los antecedentes de la compañía en materia de brechas de seguridad se remontan a varios años atrás. En 2024, Booking.com reportó un aumento del 900% en los ataques de phishing atribuidos al uso de inteligencia artificial. En 2021, las autoridades neerlandesas multaron a la plataforma con 475.000 euros tras un hackeo que expuso los datos de más de 4.000 clientes.
