Booking.com confirmó que actores no autorizados accedieron a información vinculada con reservas de algunos usuarios, datos que posteriormente fueron aprovechados en campañas de fraude digital mediante falsas alertas de seguridad, en un incidente que vuelve a evidenciar los riesgos de exposición que enfrentan las plataformas de viajes ante esquemas avanzados de ingeniería social.

La situación salió a la luz luego de que clientes de la plataforma recibieran durante el fin de semana correos electrónicos oficiales de advertencia, en los que la empresa informó sobre la filtración y notificó que, como medida preventiva, realizó la reconfiguración de los PIN asociados a las reservas comprometidas.

Al respecto, la firma de ciberseguridad ESET advirtió que, aunque Booking.com ya comenzó a contactar directamente a los usuarios afectados, el incidente exhibe el nivel de sofisticación alcanzado por los atacantes, capaces de utilizar información legítima de reservas para suplantar a la plataforma o incluso a hoteles afiliados en campañas de fraude.

En su posicionamiento oficial, Booking.com sostuvo que no encontró evidencia de una intrusión en su infraestructura central, aunque reconoció que terceros lograron acceder a información relacionada con reservas de determinados clientes.

Como parte de su respuesta inmediata, la compañía activó el restablecimiento obligatorio de todos los códigos PIN de reservas para frenar posibles usos indebidos adicionales de los datos expuestos.

La confirmación del incidente fue realizada por Sage Hunter, responsable del área de comunicaciones de Booking.com, en declaraciones difundidas por BleepingComputer.

“Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”, indicó.

Hasta el momento, la empresa no ha detallado cuántos usuarios resultaron afectados, aunque aseguró que cada persona impactada será contactada de manera individual.

Booking.com agregó que mantiene disponible su servicio de atención al cliente las 24 horas del día y en múltiples idiomas, con el objetivo de asistir a usuarios que enfrenten intentos de fraude vinculados con este incidente.

De manera paralela, usuarios comenzaron a reportar en foros como Reddit la recepción de mensajes sospechosos enviados por correo electrónico y WhatsApp, presuntamente distribuidos por estafadores con acceso a información detallada de reservas.

De acuerdo con los testimonios, los atacantes emplearon nombres completos y datos específicos de hospedaje para dar legitimidad a solicitudes de pago urgentes.

“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social, cuyo objetivo es aprovechar la confianza del usuario para obtener un beneficio económico.

Ante este tipo de incidentes, la precaución debe extremarse no solo frente a correos electrónicos, sino también ante contactos por WhatsApp y mensajes enviados dentro del chat de la plataforma”, advirtió Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

En su portal oficial, Booking.com recuerda que cualquier enlace enviado por correo electrónico o chat para realizar pagos o validar información financiera debe considerarse potencialmente fraudulento, ya que la compañía no solicita ese tipo de acciones por esas vías.

Ante este escenario, ESET recomendó a los usuarios modificar su contraseña de acceso a la plataforma, especialmente si la misma clave ha sido reutilizada en otros servicios digitales.

La firma también destacó la conveniencia de activar la autenticación en dos factores (MFA), mecanismo que añade una capa adicional de protección incluso cuando una contraseña ha sido comprometida.

Asimismo, alertó sobre tácticas de presión utilizadas por ciberdelincuentes, quienes suelen incluir amenazas de cancelación inmediata en ventanas de 4 o 12 horas para forzar decisiones rápidas de pago.

ESET subrayó que cualquier operación financiera relacionada con reservas debe realizarse exclusivamente desde la sección “Mis reservas” dentro del sitio o aplicación oficial de Booking.com, nunca a través de enlaces externos.

Respecto al uso de WhatsApp, la firma precisó que, aunque algunos hoteles emplean ese canal para coordinar procesos de check-in, no debe utilizarse para compartir información sensible, códigos SMS o datos financieros.

Como medida adicional de verificación, la compañía recomendó que, ante cualquier duda sobre cobros o solicitudes de pago, los usuarios contacten directamente al alojamiento mediante teléfonos obtenidos desde el sitio web oficial del hotel o desde Google Maps, evitando utilizar datos de contacto incluidos en mensajes sospechosos.

er