- El hackeo a Booking.com ha expuesto datos personales ligados a reservas, aunque la empresa sostiene que las tarjetas bancarias no se han visto afectadas.
- La información filtrada facilita estafas sofisticadas de phishing y "secuestro de reservas", utilizando datos reales de viajes para engañar a los usuarios.
- Booking ha reseteado PIN de reservas, avisado a afectados y notificado a las autoridades, pero persisten dudas sobre el alcance real de la brecha.
- Los usuarios deben extremar precauciones, desconfiar de pagos urgentes fuera de la plataforma y verificar siempre cualquier mensaje sospechoso con canales oficiales.
En los últimos días, Booking.com se ha colocado en el centro del huracán después de reconocer un incidente de seguridad que ha expuesto datos personales ligados a reservas de clientes de todo el mundo. No se trata de un susto menor ni de un problema aislado: llega justo cuando otros gigantes, como la cadena de gimnasios Basic-Fit, también han admitido filtraciones masivas, dibujando un panorama poco tranquilizador en materia de ciberseguridad.
Este nuevo caso de hackeo a Booking.com y acceso a la información personal de los usuarios ha encendido las alarmas entre expertos, autoridades de protección de datos y, por supuesto, entre millones de viajeros que usan a diario la plataforma de viajes. Aunque la compañía insiste en que los datos financieros no han sido comprometidos, la información filtrada abre la puerta a estafas muy creíbles basadas en phishing, suplantación de identidad y el llamado “secuestro de reservas”.
Lo primero que ha trascendido es que Booking detectó “actividad sospechosa” en sus sistemas internos, lo que terminó revelando un acceso no autorizado a información vinculada a determinadas reservas. A partir de esa detección, la empresa comenzó a enviar correos electrónicos individuales a los clientes potencialmente afectados para informarles de que terceras personas podrían haber accedido a parte de sus datos personales.
Qué ha pasado exactamente con el hackeo a Booking.com
En esos avisos, la plataforma explicaba que un atacante o grupo de atacantes habría logrado entrar a sistemas relacionados con las reservas, aunque sin ofrecer demasiados detalles técnicos. No se ha aclarado todavía si el origen del incidente está en una brecha directa en la propia infraestructura de Booking, en vulnerabilidades en sistemas de hoteles asociados o en ataques de ingeniería social contra empleados o socios.
La compañía ha evitado concretar el número total de usuarios afectados, ni ha detallado si el impacto se concentra en ciertos países o regiones. De momento, solo ha indicado que se ha contactado de forma directa con las personas potencialmente afectadas, lo que aumenta la sensación de incertidumbre entre quienes no han recibido comunicación pero siguen usando la plataforma con normalidad.
Para añadir algo más de confusión, hubo un primer aviso en el que se mencionaba también la filtración de las direcciones físicas de los clientes, algo que Booking matizó después, aclarando que se trataba de un error en la redacción del mensaje. Según la versión actualizada, la intrusión no habría afectado a los domicilios postales, aunque sí a otros datos personales muy sensibles.
Mientras las autoridades de protección de datos piden explicaciones y verifican tiempos de notificación y alcance real, en foros como Reddit han aparecido capturas de pantalla de los correos de Booking y de mensajes sospechosos recibidos por clientes, lo que confirma que los ciberdelincuentes ya están intentando rentabilizar la filtración.
Qué datos personales se han visto comprometidos
Según la información facilitada por la propia empresa y los medios que han tenido acceso a los avisos, el atacante habría accedido a varios tipos de datos personales asociados a las reservas, tanto pasadas como actuales. No hablamos de simples direcciones de correo sueltas, sino de un conjunto de información que, en manos de un estafador, resulta extremadamente valioso.
Entre los datos expuestos se encuentran el nombre completo del cliente, su dirección de correo electrónico y su número de teléfono. Es decir, la información básica que permite construir un perfil identificable y contactar fácilmente a la víctima por diferentes canales: email, SMS, llamadas de voz o aplicaciones de mensajería como WhatsApp.
Además, el ciberataque ha permitido acceder a detalles concretos de las reservas: fechas de entrada y salida, establecimiento reservado, ciudad de destino, número de personas, peticiones especiales y cualquier comentario adicional que el cliente hubiera dejado por escrito para el alojamiento. Estos datos, que a primera vista pueden parecer inofensivos, son precisamente los que convierten un intento de fraude en algo tremendamente convincente.
En algunos comunicados iniciales se habló incluso de direcciones físicas filtradas, algo que más tarde fue desmentido por Booking, atribuyéndolo a un fallo en la redacción del aviso original a los usuarios. No obstante, otros medios han apuntado a que, al menos en ciertos casos, sí se habría accedido a la dirección postal, por lo que el alcance real sigue sin estar del todo claro.
Lo que la empresa sí ha repetido de forma insistente es que los datos de tarjetas de crédito, cuentas bancarias y otra información financiera no se han visto comprometidos. Es decir, nadie habría robado directamente los números completos de las tarjetas ni los códigos de seguridad. Pero eso no significa que el riesgo sea bajo: con el resto de la información, un ciberdelincuente puede engañar al usuario para que sea él mismo quien entregue sus datos bancarios de forma voluntaria.
Por qué esta filtración es tan preocupante para los usuarios
Aunque no se hayan robado tarjetas, el incidente es grave porque pone en manos de los delincuentes justo los datos que necesitan para disfrazar sus estafas de comunicaciones legítimas. Si un supuesto “agente de Booking” te escribe citando el hotel exacto, las fechas de tu viaje y hasta tu petición de “habitación tranquila”, es muy fácil bajar la guardia.
Los expertos en ciberseguridad han advertido que este tipo de filtraciones convierten el phishing en algo mucho más sofisticado y difícil de detectar. Ya no se trata de correos genéricos mal traducidos, sino de mensajes que encajan perfectamente con la realidad del viaje del usuario: incluyen referencias a la reserva correcta, mencionan cambios de última hora y hasta juegan con la cercanía temporal del check-in para generar urgencia.
Además, la situación se produce en plena temporada alta de viajes, cuando muchos usuarios tienen reservas activas y están pendientes de confirmaciones, actualizaciones o cambios. En ese contexto, recibir un mail o un WhatsApp con el asunto “problema con su reserva” o “actualización de pago necesaria” es el escenario perfecto para que mucha gente pique sin pensárselo demasiado.
Para complicar aún más las cosas, este tipo de avisos de seguimiento o recordatorio (“queda una semana para tu viaje”, “últimos detalles de tu estancia”) son totalmente habituales en plataformas de reserva. El usuario está acostumbrado a que Booking le escriba con ese tono, lo que hace que cualquier mensaje similar que llegue pueda parecer auténtico aunque lo envíe un estafador.
Detrás de este incidente hay, además, un contexto inquietante: en junio de 2024 la propia plataforma ya había advertido de que los ataques de phishing dirigidos a sus clientes se habían disparado un 900% gracias al uso de inteligencia artificial. Los ciberdelincuentes no solo tienen más datos; también cuentan con herramientas automáticas para generar mensajes perfectos en cuestión de segundos.
El “secuestro de reservas”: la estafa que se dispara tras el hackeo
Uno de los riesgos más claros derivados de esta filtración es el auge del llamado “secuestro de reservas”, un concepto popularizado por empresas de ciberseguridad como Norton. La idea es sencilla pero muy peligrosa: el delincuente se adelanta a cualquier comunicación legítima y contacta directamente contigo haciéndose pasar por el hotel o por Booking, usando datos reales de tu reserva.
En la práctica, la estafa suele seguir un patrón bastante parecido: el supuesto “agente” informa de un problema con el pago, un cambio en la política de cancelación o una incidencia con la tarjeta. A partir de ahí, te pide que verifiques tus datos bancarios, que hagas una transferencia o que introduzcas la información de tu tarjeta en un enlace que, en realidad, apunta a una página fraudulenta muy bien disfrazada.
El truco funciona porque el atacante dispone de toda la información necesaria para ganar tu confianza: sabe dónde vas a viajar, cuándo llegas, con quién te hospedas y qué habitación has reservado. Incluso puede mencionar mensajes que dejaste al alojamiento (“llegaremos tarde”, “viajamos con niños”) para que todo parezca 100% legítimo.
Expertos como Luis Corrons apuntan que, tras este incidente, los delincuentes ya no necesitan comprometer previamente los sistemas de los hoteles para lanzar estas estafas. Antes, muchos ataques se apoyaban en que los criminales accedían a las cuentas de los propios alojamientos dentro de Booking y, desde allí, escribían a los clientes. Ahora, con los datos filtrados, pueden saltarse ese paso y contactar directamente con los viajeros desde cualquier canal.
Usuarios de la plataforma ya han reportado en foros y redes sociales mensajes fraudulentos recibidos por WhatsApp, correo electrónico e incluso llamadas de voz, en los que se utilizan datos reales de sus reservas robadas. Muchos relatan que los intentos de engaño comenzaron incluso antes de que hubiera un reconocimiento público amplio del incidente, lo que sugiere que los atacantes llevaban tiempo preparando la campaña.
Cómo está respondiendo Booking.com al incidente
Tras detectar la brecha, Booking asegura que actuó con rapidez para contener la intrusión y minimizar el impacto sobre las reservas. Uno de los primeros pasos fue actualizar de manera preventiva los números de PIN asociados a todas las reservas consideradas potencialmente afectadas, tanto las que todavía estaban activas como muchas ya finalizadas.
Este PIN es un elemento clave del sistema de la plataforma, ya que sirve para acceder, modificar o gestionar determinados aspectos de la reserva. Al regenerarlos, la empresa trata de evitar que los atacantes puedan seguir utilizándolos para ver o cambiar datos, o para suplantar al usuario ante el alojamiento.
Junto con esa medida técnica, se han enviado correos electrónicos personalizados a los clientes sospechosos de estar afectados, en los que se explica el incidente, se detallan los datos que podrían haber quedado expuestos y se recomiendan medidas de precaución. Sin embargo, no se especifica el volumen total de afectados ni se aclara el vector exacto del ataque, algo que ha sido criticado por varios especialistas en privacidad.
En el ámbito regulatorio, la compañía ha informado de la brecha de seguridad a la autoridad de protección de datos de los Países Bajos, país en el que tiene su sede. Con ello, busca cumplir con sus obligaciones bajo el Reglamento General de Protección de Datos (RGPD), que exige notificar este tipo de incidentes a la autoridad competente en un máximo de 72 horas desde que se tenga conocimiento de ellos.
No es la primera vez que Booking se ve en apuros en este terreno: en 2021 fue sancionada con 475.000 euros por el regulador holandés tras un ataque que dejó expuestos los datos de más de 4.000 clientes, incluidas tarjetas de crédito en algunos casos. Entonces, la multa llegó porque la empresa tardó 22 días en informar a las autoridades, muy por encima del límite que marca el RGPD.
Un problema que el sector turístico arrastra desde hace años
Este incidente no surge de la nada. El turismo se ha convertido en un objetivo prioritario para los ciberdelincuentes por una combinación muy tentadora: enormes volúmenes de datos personales, un flujo constante de transacciones económicas y usuarios que, al estar de viaje o planificándolo, suelen estar menos atentos a los detalles de seguridad.
En el caso concreto de Booking, el tamaño de la plataforma multiplica el impacto de cualquier brecha: gestiona cientos de millones de reservas al año y, desde 2010, se calcula que más de 6.800 millones de clientes han utilizado sus servicios. Solo en 2024 se han llegado a registrar más de 900 millones de noches de alojamiento reservadas, lo que da una idea de la montaña de información que maneja a diario.
Paralelamente, las investigaciones de autoridades como la Agencia Española de Protección de Datos (AEPD) muestran un aumento continuado de ataques de suplantación de identidad ligados a hoteles y alojamientos turísticos. En varios casos, el blanco no han sido solo los clientes, sino también los propios empleados de los establecimientos, mediante campañas de phishing dirigidas a robarles sus credenciales de acceso a sistemas como el panel de Booking.
Cuando los delincuentes consiguen entrar en la cuenta de un hotel dentro de la plataforma, pueden enviar mensajes a huéspedes que tienen una estancia próxima alegando problemas con el pago o supuestas incidencias de última hora. Desde ahí, redirigen a páginas falsas que imitan la apariencia de Booking, donde capturan los datos bancarios de sus víctimas.
A todo esto hay que sumar el papel de la inteligencia artificial, que ha supuesto un salto cualitativo y cuantitativo en la capacidad de los atacantes para automatizar y personalizar sus estafas. Correos impecables, sin faltas de ortografía, adaptados al idioma y a la situación de cada usuario se pueden generar en masa, lo que eleva de forma notable la tasa de éxito de estas campañas.
Lecciones del pasado: la multa de 2021 y la presión del RGPD
El historial de Booking en materia de ciberseguridad no ayuda precisamente a calmar los ánimos. En 2021, el regulador holandés impuso a la compañía una multa de 475.000 euros tras un ciberataque en el que se filtraron datos de más de 4.000 clientes, incluyendo, en algunos casos, información de tarjetas de crédito.
En aquel episodio, el punto clave no fue solo la brecha en sí, sino el retraso en la notificación. Booking tardó 22 días en informar del incidente a las autoridades, superando ampliamente las 72 horas que marca el RGPD para comunicar cualquier violación de seguridad de datos personales una vez detectada.
Este antecedente pesa ahora sobre la gestión del nuevo caso. La empresa ha confirmado que ha notificado la filtración a la autoridad de protección de datos neerlandesa, pero todavía está por ver si lo hizo dentro del plazo establecido o si, de nuevo, ha habido demoras que puedan traducirse en sanciones adicionales.
Más allá de las posibles multas, el RGPD obliga a las compañías a aplicar medidas técnicas y organizativas adecuadas para proteger los datos personales, algo que en brechas de este calibre siempre se pone bajo la lupa. Los reguladores suelen exigir explicaciones detalladas sobre cómo se produjo el ataque, qué vulnerabilidades se explotaron y qué se ha hecho para evitar que vuelva a suceder.
En paralelo a las discusiones legales, la confianza de los usuarios se convierte en el verdadero terreno de juego. En un mercado tan competitivo y saturado de opciones, cualquier percepción de falta de transparencia o de desprotección puede empujar a muchos viajeros a explorar alternativas, aunque sea de forma gradual.
Si usas Booking.com: riesgos reales y cómo protegerte
Ante este panorama, lo primero es entender que, si eres cliente de la plataforma, no necesariamente estás afectado solo por el hecho de tener una cuenta. La propia empresa ha indicado que informará directamente a las personas cuyas reservas se hayan visto comprometidas. Si no has recibido ningún correo oficial de Booking explicando el incidente, en teoría tu información no estaría dentro del grupo afectado por esta brecha concreta.
Ahora bien, incluso si estás fuera del listado de víctimas directas, es fundamental extremar la precaución con cualquier mensaje relacionado con tus viajes. Los ciberdelincuentes a menudo cruzan datos procedentes de distintas filtraciones y compran listas de correos y nombres en mercados clandestinos, por lo que no es raro que combinen información de varios orígenes para hacer más creíbles sus ataques.
Si recibes un correo, llamada o WhatsApp supuestamente de Booking o de un hotel, desconfía especialmente cuando el mensaje incluya detalles concretos de tu reserva y te pida que actúes con urgencia. Los ganchos típicos son avisos de cancelación inminente si no se actualiza el método de pago, cambios en la política de la tarjeta, errores en la transacción o problemas con el banco.
Ante cualquier duda, la recomendación es clara: no facilites información financiera por canales que no sean la web o la app oficial. En lugar de pulsar en enlaces incluidos en un correo o un mensaje, accede manualmente a tu cuenta en Booking.com escribiendo la dirección en el navegador o usando la aplicación móvil, y revisa desde allí si hay algún aviso real sobre tu reserva.
En caso de que creas haber caído en una trampa —por ejemplo, si has introducido los datos de tu tarjeta en una página sospechosa o has hecho una transferencia siguiendo instrucciones dudosas—, contacta inmediatamente con tu banco para bloquear los pagos y sigue las indicaciones de las autoridades. En España, las Fuerzas y Cuerpos de Seguridad del Estado recomiendan denunciar lo ocurrido cuanto antes, y el Instituto Nacional de Ciberseguridad (INCIBE) ofrece asesoramiento gratuito a través del número 017 y del WhatsApp 900 116 117.
Recomendaciones prácticas para evitar caer en el phishing tras el hackeo
Más allá del caso concreto de Booking, este tipo de incidentes deja claro que necesitamos incorporar ciertos hábitos básicos de autoprotección digital, especialmente cuando se trata de viajes y reservas online. Un poco de desconfianza sana puede ahorrarte muchos disgustos.
En primer lugar, conviene desconfiar de cualquier mensaje que mezcle urgencia y dinero. Si te dicen que tienes que pagar en las próximas horas o tu reserva se cancela, pon el modo alerta. Las prisas son una de las armas favoritas de los estafadores para que no te pares a pensar demasiado.
En segundo lugar, haz del doble canal de verificación tu mejor amigo: si recibes un correo sospechoso, llama directamente al hotel usando el teléfono que aparece en su web oficial o entra en tu cuenta de Booking desde el navegador o la app, pero nunca respondas al mismo mensaje ni pulses en los enlaces que incluye.
Otro punto clave es recordar que Booking insiste en que nunca pedirá tus datos de tarjeta de crédito por email, llamada, SMS o WhatsApp, ni te pedirá que hagas pagos o transferencias fuera de su sistema de pagos integrado. Si alguien lo hace, por convincente que parezca, lo más prudente es asumir que se trata de un intento de fraude.
Por último, merece la pena revisar con cierta frecuencia la configuración de seguridad de tus cuentas y las contraseñas que usas en servicios críticos. Activar la verificación en dos pasos siempre que se ofrezca, usar claves robustas y no reutilizarlas entre plataformas reduce de forma notable las posibilidades de que un ataque tenga éxito, incluso si una de las empresas que utilizas sufre una brecha.
Este nuevo hackeo a Booking.com demuestra que la información personal ligada a nuestras reservas de viaje se ha convertido en una moneda muy cotizada para los ciberdelincuentes. Aunque la compañía asegura que las tarjetas no se han visto comprometidas y ha tomado medidas como el reseteo masivo de PIN y la notificación a autoridades, la realidad es que los datos filtrados son más que suficientes para montar campañas de phishing muy creíbles, apoyadas además por herramientas de inteligencia artificial cada vez más sofisticadas. Como usuarios, solo nos queda estar un poco más despiertos, cuestionar cualquier petición de pago fuera de los canales oficiales y asumir que, en el mundo de las reservas online, la mejor defensa es combinar plataformas seguras con una buena dosis de sentido común.
