- Booking.com ha detectado un acceso no autorizado a datos de reservas de algunos clientes en Europa.
- La compañía afirma que no se han visto comprometidos los datos bancarios ni de tarjetas de crédito.
- Se han actualizado los códigos PIN de reservas y reforzado las medidas de seguridad tras el incidente.
- La empresa alerta de posibles fraudes y ataques de phishing dirigidos a viajeros y alojamientos.
La plataforma de reservas Booking.com ha reconocido un incidente de ciberseguridad que ha permitido a terceros no autorizados acceder a información vinculada a reservas de algunos de sus clientes. La empresa, con sede en Ámsterdam, ha comenzado a enviar correos a los usuarios potencialmente afectados para explicar lo ocurrido y ofrecer recomendaciones básicas de protección frente a posibles fraudes.
Según la compañía, el ataque ha afectado a datos personales asociados a reservas en su sistema, pero no ha alcanzado la información financiera custodiada en sus propios servidores. Aun así, Booking.com anima a los viajeros, especialmente en España y el resto de Europa, a extremar la precaución ante mensajes sospechosos que puedan aprovechar esta filtración para intentar robar dinero o más datos sensibles.
Qué ha pasado exactamente con el ciberataque a Booking.com
Booking.com ha explicado que, en los últimos días, detectó una actividad anómala en relación con varias reservas gestionadas a través de su sistema. Esa actividad apuntaba a que personas ajenas a la compañía habrían conseguido entrar en parte de la información de reservas de un número todavía no revelado de clientes.
Ante estos indicios, la empresa afirma que actuó «de inmediato» para contener el incidente, bloqueando los accesos irregulares y aplicando medidas técnicas adicionales. Desde la plataforma aseguran que la situación se encuentra actualmente bajo control y que no hay evidencias de un acceso masivo a todos los perfiles de usuarios.
La compañía no ha detallado por ahora cuántos clientes se han visto afectados, ni durante cuánto tiempo pudieron los atacantes mantener abierto el acceso a los datos, ni en qué fecha concreta se produjo la brecha inicial. Se trata de información que, según indican, todavía se está analizando dentro de la investigación interna y en coordinación con las autoridades competentes.
En paralelo, Booking.com ha iniciado el envío escalonado de avisos por correo electrónico para informar a los usuarios potencialmente afectados y explicarles las medidas de seguridad aplicadas, así como las recomendaciones a seguir en las próximas semanas.
Qué tipo de datos se han visto expuestos en el ataque
Según los distintos comunicados remitidos por la plataforma, los atacantes habrían accedido a información personal asociada a reservas concretas. Entre los datos expuestos se incluyen nombres y apellidos de los clientes, direcciones físicas, direcciones de correo electrónico y números de teléfono vinculados a las reservas.
Junto a estos datos de contacto, también podrían haberse visto comprometidos detalles propios de las reservas: fechas de entrada y salida, nombre y ubicación del alojamiento, tipo de habitación o mensajes intercambiados con el establecimiento a través del sistema de mensajería de Booking.com. En definitiva, todo aquello que los viajeros o los alojamientos hubieran compartido dentro del proceso de reserva.
La compañía recalca de forma reiterada que, desde sus sistemas no se ha accedido a datos bancarios ni a números completos de tarjetas de crédito. Es decir, la brecha se habría limitado a información personal y de la reserva, sin alcanzar contraseñas de pago ni códigos de seguridad almacenados en sus plataformas.
Aun así, el hecho de que los ciberdelincuentes dispongan de datos como el nombre del cliente, el hotel, las fechas exactas de la estancia o el correo asociado facilita que puedan lanzar ataques de phishing mucho más creíbles, haciéndose pasar por la propia plataforma o por el establecimiento reservado.
Medidas que ha tomado Booking.com tras detectar la brecha
Una de las primeras decisiones tras descubrir la incidencia ha sido la actualización de los códigos PIN asociados a las reservas afectadas. Estos PIN funcionan como identificadores o llaves de acceso rápido a determinados datos de la reserva, de modo que su renovación reduce las posibilidades de que los atacantes sigan utilizando esa vía.
Además, la compañía ha comunicado el incidente a la autoridad de protección de datos de Países Bajos, país donde se encuentra su sede central. Se trata de un paso obligatorio bajo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que exige notificar cualquier brecha relevante en un plazo máximo de 72 horas desde que la empresa tiene constancia de ella.
Desde Booking.com señalan que se han puesto en marcha medidas adicionales de refuerzo en sus sistemas de seguridad, aunque sin dar demasiados detalles técnicos. Lo habitual en este tipo de situaciones es revisar accesos, credenciales internas, integraciones con terceros y los sistemas de monitorización para tratar de evitar que algo similar vuelva a producirse.
Paralelamente, la empresa ha intensificado las comunicaciones informativas con clientes y alojamientos. Los correos enviados incluyen recomendaciones básicas para reconocer intentos de fraude, enlaces a las páginas oficiales de ayuda y recordatorios sobre los canales que la plataforma utiliza —y los que nunca utilizará— para solicitar información sensible.
Riesgo de fraudes y ataques de phishing tras el ciberataque
Uno de los puntos que más preocupa a la compañía y a los expertos en ciberseguridad es el uso de los datos filtrados para organizar campañas de phishing. Al disponer de información real sobre la reserva, los atacantes pueden enviar mensajes personalizados que resultan muy convincentes para el usuario medio.
De hecho, algunos clientes ya habían reportado mensajes sospechosos que imitaban comunicaciones oficiales, tanto de la propia plataforma como de los alojamientos. En esos intentos de fraude, los delincuentes se presentaban como responsables del hotel o del apartamento reservado, incluyendo detalles correctos sobre la fecha de la estancia, el nombre del establecimiento o la ciudad.
Normalmente, esos mensajes advertían de un supuesto problema con el método de pago o con la verificación de la tarjeta, e invitaban a los usuarios a acceder a una web que simulaba el entorno de Booking.com. Una vez dentro, los clientes eran presionados para introducir el número de la tarjeta bancaria y el código CVV, información que sí permite a los estafadores realizar cargos no autorizados.
Los especialistas recomiendan a los viajeros en España y en el resto de Europa que, ante cualquier comunicación relacionada con sus reservas, verifiquen siempre la dirección de correo del remitente, eviten pinchar en enlaces acortados o extraños y, en caso de duda, accedan a su cuenta únicamente desde la web o la app oficial de Booking.com, escribiendo la dirección manualmente en el navegador.
Recomendaciones de seguridad para clientes y alojamientos
En los comunicados remitidos tras el incidente, la empresa insiste en que nunca solicita datos de tarjetas de crédito por correo electrónico, llamadas telefónicas, mensajes de texto ni aplicaciones de mensajería como WhatsApp. Del mismo modo, señala que no pide a los clientes realizar transferencias bancarias fuera de los métodos de pago que aparecen en la confirmación oficial de la reserva.
La recomendación para los usuarios es clara: si alguien pide por mensaje o llamada que se facilite un número de tarjeta o un código de seguridad, lo más prudente es colgar o ignorar el mensaje y contactar directamente con el alojamiento o con el servicio de atención al cliente de Booking.com a través de los canales oficiales.
También resulta aconsejable revisar con frecuencia los movimientos de las tarjetas vinculadas a reservas recientes y activar alertas en la banca online para recibir notificaciones en caso de operaciones inusuales. Si se detecta un cargo no reconocido, conviene avisar cuanto antes al banco para bloquear la tarjeta y tramitar las posibles devoluciones.
En el caso de los establecimientos turísticos que trabajan con la plataforma, los expertos subrayan la importancia de reforzar las políticas de acceso a sus propias cuentas, utilizar contraseñas robustas y activar, siempre que sea posible, sistemas de verificación en dos pasos. Muchos ataques de este tipo se apoyan en credenciales robadas o en accesos poco protegidos a paneles de gestión.
Impacto del incidente en España y en el sector turístico europeo
El ciberataque se produce en un contexto en el que Booking.com tiene un peso muy relevante en el mercado español y europeo. En España, la plataforma lidera el segmento de reservas de alojamiento online y canaliza buena parte de las ventas de agencias y establecimientos, hasta el punto de gestionar una fracción muy significativa de las noches de hotel que se reservan en el país.
Este tipo de incidentes vuelve a poner el foco en la seguridad de los datos en el turismo digital, un sector en el que se manejan a diario millones de reservas y una enorme cantidad de información personal. La combinación de alto volumen de transacciones y uso intensivo de canales online convierte a estas plataformas en un objetivo prioritario para bandas de ciberdelincuentes.
La propia responsable global de seguridad de la compañía ya había advertido hace meses del papel de la inteligencia artificial en el aumento y la sofisticación de las estafas. Herramientas avanzadas permiten generar correos y webs falsas cada vez más convincentes, así como automatizar ataques dirigidos contra usuarios concretos en función de los datos filtrados en cada brecha.
Pese al incremento de la amenaza, desde la empresa sostienen que, gracias a nuevas medidas de protección y monitorización, el número de casos de fraude detectados en la plataforma se habría reducido en los últimos años. Aun así, incidentes como el ahora reconocido muestran que el riesgo cero no existe y que la colaboración entre plataformas, autoridades y usuarios sigue siendo esencial.
En un escenario en el que las reservas online se han convertido en la norma para organizar viajes por España y Europa, la transparencia a la hora de comunicar brechas de seguridad, la rapidez en notificar a los clientes afectados y la insistencia en buenas prácticas digitales se han vuelto elementos clave para mantener la confianza en este tipo de servicios.
Lo ocurrido con Booking.com pone de nuevo sobre la mesa hasta qué punto la protección de los datos personales y la vigilancia frente a intentos de fraude son ya parte inevitable de la experiencia de reservar un viaje por internet: las plataformas deben seguir reforzando sus sistemas, y los usuarios, por su parte, necesitan adoptar hábitos de seguridad básicos si no quieren que la escapada soñada se convierta en un quebradero de cabeza.
