Booking.com confirmó el acceso no autorizado a datos de usuarios que posteriormente fueron utilizados por ciberdelincuentes para realizar intentos de fraude mediante alertas de seguridad falsas. El incidente se hizo público después de que clientes recibieran correos electrónicos oficiales de alerta enviados por la plataforma durante el fin de semana, en los que se informaba sobre la filtración y se indicaba que, entre las medidas de emergencia, se encontraba la redefinición de los PIN de las reservas. ESET, compañía líder en detección proactiva de amenazas, advierte que si bien Booking.com está notificando directamente por correo electrónico a los usuarios afectados, el caso vuelve a poner el foco en la sofisticación de los ataques, en los que los delincuentes podrían hacerse pasar por la empresa o por socios hoteleros, utilizando datos reales de reservas para llevar adelante estafas.
En respuesta al incidente, Booking.com emitió un comunicado oficial, en el que aclaró que no hubo evidencia de una intrusión directa en sus sistemas centrales, pero confirmó que terceros lograron acceder a información de reservas de algunos usuarios. Como medida inmediata, la compañía forzó la redefinición de todos los códigos PIN asociados a reservas, con el objetivo de impedir cualquier manipulación posterior.
El incidente fue confirmado por Sage Hunter, responsable del área de comunicaciones de Booking.com, en una declaración oficial publicada por BleepingComputer: “Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para
contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”.
Según el medio, la empresa no respondió a las consultas sobre la cantidad total de usuarios afectados,
aunque aseguró que todos serán notificados de forma individual. Además, destacó que mantiene
atención al cliente en varios idiomas, disponible las 24 horas, para orientar a los usuarios frente a
posibles intentos de fraude en curso.
Varios usuarios recurrieron a foros como Reddit para documentar la recepción de mensajes sospechosos enviados por correo electrónico y WhatsApp. Los testimonios indican que los estafadores tuvieron acceso a información privada, como nombres completos y detalles específicos de las estadías, y utilizaron esos datos para dar credibilidad a solicitudes urgentes de pago.
“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social, cuyo objetivo es aprovechar la confianza del usuario para obtener un beneficio económico. Ante este tipo de incidentes, la precaución debe extremarse no solo frente a correos electrónicos, sino también ante