Booking.com confirmó el acceso no autorizado a datos de usuarios que posteriormente fueron utilizados por ciberdelincuentes para realizar intentos de fraude mediante alertas de seguridad falsas.
El incidente se hizo público después de que clientes recibieran correos electrónicos oficiales de alerta enviados por la plataforma durante el fin de semana, en los que se informaba sobre la filtración y se indicaba que, entre las medidas de emergencia, se encontraba la redefinición de los PIN de las reservas. Si bien Booking.com está notificando directamente por correo electrónico a los usuarios afectados, ESET, compañía líder en detección proactiva de amenazas, advierte que los delincuentes podrían hacerse pasar por la empresa o por socios hoteleros, utilizando datos reales de reservas para llevar adelante estafas y recomendaciones para protegerse.
Alcance del incidente: ¿Qué dice Booking.com?
Aunque Booking.com emitió un comunicado oficial al portal BleepingComputer, en el que aclaró que no hubo evidencia de una intrusión directa en sus sistemas centrales, se confirmó que terceros lograron acceder a información de reservas de algunos usuarios. Como medida de emergencia, la compañía forzó la redefinición de todos los códigos PIN de las reservas afectadas, con el objetivo de impedir cualquier manipulación posterior.
“Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”, mencionó Sage Hunter, responsable del área de comunicaciones de Booking.com, en su comunicado oficial.
La empresa no ha revelado la cifra total de usuarios afectados, aunque ha asegurado que todos serán notificados de forma individual. Además, destacó que mantiene atención al cliente en varios idiomas, disponible las 24 horas, para orientar a los usuarios frente a posibles intentos de fraude en curso.
Los datos financieros no fueron comprometidos, pero eso no elimina el riesgo, destacan los especialistas de ESET. Los atacantes pueden construir mensajes altamente convincentes. Saben tu nombre, a qué hotel vas y cuándo llegas. Hay usuarios reportando mensajes por WhatsApp y correo que parecen legítimos porque usan sus datos reales, esto se llama phishing de seguimiento, y es mucho más difícil de detectar que un mensaje genérico, explican.