




















Actualizado
Si has recibido un correo electrónico de Booking.com con el asunto "Actualización de seguridad importante", no se trata de un intento de phishing ni de una estafa, sino de una notificación real que podría afectar directamente a tu cuenta. Según el diario The Guardian, y tal como ha confirmado la propia compañía, la plataforma ha sufrido una brecha de seguridad.
Según la información disponible, Booking.com sufrió un acceso no autorizado a determinadas secciones donde se almacenan datos de clientes. La empresa detectó la actividad sospechosa, aseguró haber controlado el incidente y procedió a actualizar los PIN de las reservas afectadas. Como es habitual, también notificó el problema directamente a los usuarios implicados.
Los datos a los que podrían haber accedido los atacantes incluyen, además de la información de la reserva, el nombre y apellidos del usuario, su dirección de correo electrónico, número de teléfono y cualquier información compartida con el alojamiento (documentos, solicitudes o preferencias).
Aunque no está confirmado, también podrían haberse visto comprometidos datos como direcciones físicas. No obstante, el medio TechCrunch apunta a que esto no habría ocurrido. En cualquier caso, la empresa insiste en que los datos financieros permanecen protegidos.
Por el momento, se desconoce quién está detrás del ataque y cómo se llevó a cabo. Sin embargo, los riesgos son significativos. La información obtenida permite construir perfiles bastante precisos de los usuarios, lo que los convierte en objetivos potenciales de nuevos intentos de phishing.
Por ejemplo, los delincuentes podrían enviar mensajes personalizados haciéndose pasar por el alojamiento para solicitar pagos. De hecho, un usuario afirmó haber recibido un mensaje de WhatsApp con datos reales de su reserva poco antes de recibir la notificación oficial de Booking.com.
Este tipo de técnica no es nueva. Ya en 2023, The Guardian informó de ataques similares en los que los clientes recibían correos electrónicos fraudulentos con información precisa sobre sus reservas.
No es la primera vez que los usuarios de Booking.com se ven afectados por incidentes de seguridad. Sin embargo, plataformas como Have I Been Pwned no incluyen a la empresa entre los servicios con grandes filtraciones registradas.
Aun así, existen precedentes. El Comité Europeo de Protección de Datos informó de un incidente en 2018, cuando una estafa telefónica afectó a 40 hoteles en los Emiratos Árabes Unidos. Los atacantes lograron engañar a empleados para obtener sus credenciales de acceso a la plataforma, lo que les permitió acceder a los datos de 4.109 clientes.
Aunque la filtración se notificó internamente de inmediato, no se hizo pública hasta febrero de 2019. Este retraso llevó a la Autoridad de Protección de Datos de los Países Bajos a imponer una multa de 475.000 euros a la compañía.
Los antecedentes sugieren que, más que vulneraciones directas del sistema central de Booking.com, el punto débil podría estar en sus socios y alojamientos, especialmente frente a ataques de phishing.
Esto coincide con lo señalado por Malwarebytes, que describe el caso de un turista en Verona. Tras hacer una reserva, recibió un mensaje aparentemente enviado desde el sistema oficial de la plataforma solicitando información adicional y un pago anticipado. El usuario, Robert Woodford, confió en el mensaje y realizó el pago, pero después descubrió que se trataba de un fraude: el nombre del comerciante no coincidía. En ese caso, el problema no fue la plataforma, sino que el hotel había sido comprometido.
Una de las principales fortalezas —y a la vez debilidad— de Booking.com es la enorme escala de su red. La plataforma cuenta con unos 100 millones de usuarios activos en su aplicación móvil, más de 500 millones de visitas mensuales y más de 1.100 millones de noches reservadas en 2024.
Este volumen no implica necesariamente que sus sistemas internos sean vulnerables, pero sí facilita que los atacantes lancen campañas masivas de phishing dirigidas tanto a alojamientos como a clientes, como ya ocurrió el año pasado según Sekoia.
Además, muchos hoteles utilizan software de terceros para gestionar reservas, lo que introduce nuevos riesgos. Vulnerabilidades detectadas en plugins de WordPress —como Service Finder Bookings, Booking Activities, WP Hotel Booking o Hotel Booking Lite— han permitido en algunos casos la subida de archivos maliciosos y el acceso a datos confidenciales.
Si estas debilidades se combinan con bases de datos que contienen nombres, teléfonos y detalles de estancias, el impacto puede ser considerable. Por ahora, se trata de hipótesis, pero resulta relevante que Booking.com haya actualizado recientemente sus páginas de soporte para alojamientos asociados.
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。