Datos de Booking.com expuestos y fraudes: ESET detalla riesgos y recomendaciones

Booking.com confirmó un acceso no autorizado a datos de usuarios que luego fueron utilizados por ciberdelincuentes para intentar fraudes mediante alertas de seguridad falsas. El episodio se conoció después de que clientes recibieran, durante el fin de semana, correos electrónicos oficiales de alerta enviados por la plataforma. Esos mensajes informaron sobre la filtración e indicaron, entre las medidas de emergencia, la redefinición de los PIN de las reservas.

El incidente reabrió la discusión sobre la sofisticación de los ataques de ingeniería social, una modalidad que busca inducir a las personas a realizar acciones que favorezcan al atacante. En este caso, el riesgo se concentra en que los delincuentes puedan hacerse pasar por la empresa o por socios hoteleros y, con datos reales de reservas, dar credibilidad a pedidos de pago u otras gestiones.

En una declaración publicada por BleepingComputer, Booking.com aclaró que no hubo evidencia de una intrusión directa en sus sistemas centrales, aunque confirmó que terceros lograron acceder a información de reservas de algunos usuarios. Como respuesta inmediata, la compañía forzó la redefinición de todos los códigos PIN asociados a reservas, con el objetivo de impedir cualquier manipulación posterior.

“Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes”, dijo Sage Hunter, responsable del área de comunicaciones de Booking.com. “Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”, agregó.

De acuerdo con el mismo medio, la empresa no respondió consultas sobre la cantidad total de usuarios afectados, aunque aseguró que todos serán notificados de forma individual. También destacó que mantiene atención al cliente en varios idiomas, disponible las 24 horas, para orientar a los usuarios frente a posibles intentos de fraude en curso.

En paralelo, usuarios recurrieron a foros como Reddit para documentar la recepción de mensajes sospechosos enviados por correo electrónico y WhatsApp. Los testimonios indicaron que los estafadores tuvieron acceso a información privada, como nombres completos y detalles específicos de las estadías, y utilizaron esos datos para respaldar solicitudes urgentes de pago.

“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social”, advirtió Mario Micucci, investigador de seguridad informática de ESET Latinoamérica. Ante este tipo de incidentes, ESET recomendó cambiar la contraseña de acceso a la plataforma y, si se reutiliza en otros servicios, actualizarla también allí; activar la autenticación en dos factores (MFA), que suma una verificación en dos pasos; y desconfiar de ultimátums de pago con plazos de cuatro o 12 horas.

La lista de medidas incluyó evitar enlaces externos para pagos o validaciones financieras y operar solo desde la sección “Mis reservas” del sitio o la app oficial; no compartir datos sensibles ni códigos recibidos por SMS por WhatsApp; y verificar cualquier cobro por canales independientes, contactando al alojamiento con un número obtenido del sitio web oficial del hotel o de Google Maps, y no desde el mensaje sospechoso.