Mensajes con datos reales de reservas, enlaces fraudulentos y cuentas de hoteles comprometidas marcan el caso reciente en Booking.com, que confirmó el acceso de terceros a información personal de sus usuarios. Se trata de una modalidad de ciberdelincuencia documentada desde hace años.
Los primeros casos datan de hace dos semanas. Varios usuarios de Booking.com recibieron mensajes de correo, WhatsApp y SMS relacionados con sus reservas. Los mensajes incluían su información de contacto, el nombre real del hotel, las fechas exactas del hospedaje y el número de confirmación. Todo coincidía. El problema era que ninguno de esos mensajes venía de la plataforma.
Estos mensajes corresponden a una modalidad de ciberdelincuencia que se repite desde hace años en el sector de las reservas de viaje: aunque los delincuentes no cuentan con la información bancaria de los usuarios, aprovechan los datos robados para adquirirlos. A través de estos mensajes indican errores en los pagos o piden reconfirmar la reserva ingresando datos de su tarjeta bancaria. Cuando el usuario se da cuenta del engaño, es demasiado tarde.
Las primeras alertas
El lunes 13 de abril en la noche, Booking.com, plataforma que gestiona cientos de millones de reservas al año y tiene cerca de 135 millones de usuarios, envió correos electrónicos a sus clientes con una alerta por una “actividad sospechosa” relacionada con las reservas. Poco después, a través de un comunicado dirigido a BleepingComputer —un medio de comunicación especializado en tecnología y ciberseguridad—, confirmó el incidente sin revelar el número de usuarios afectados, las regiones involucradas, la cronología precisa ni el método utilizado por los atacantes. En cambio, aseguró que los usuarios afectados serían notificados individualmente y que el servicio de atención al cliente estaba disponible las 24 horas del día, los siete días de la semana, en varios idiomas.
Los tipos de datos comprometidos, explicó la compañía, incluyen nombres completos, direcciones de correo electrónico, direcciones postales, números de teléfono y comunicaciones compartidas con los proveedores de la propiedad. Sin embargo, la plataforma confirmó a The Guardian que los datos financieros (información de pago o tarjeta de crédito) no se habían visto comprometidos.
Tras este anuncio, la plataforma tomó medidas de emergencia para proteger las operaciones, incluyendo el reenvío de nuevos PIN de reserva. Sage Hunter, responsable del área de Comunicaciones, explicó: “Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”.
Lo que hay detrás del Ciberataque a Booking
Pese a que la plataforma no ha dado detalles sobre cómo sucedió el hackeo cibernético, usuarios reportaron que los ataques de phishing ya comenzaron. Pero, ¿qué es phishing?
El phishing es una técnica de ciberdelito en donde los atacantes suplantan a entidades confiables (como empresas, bancos, instituciones), para engañar a las víctimas y robar información confidencial, como contraseñas y datos bancarios. Según Microsoft, para lograrlo, se utilizan correos y mensajes falsos diseñados para parecer auténticos.
Expertos asocian este escenario a un patrón que ya ha sido documentado en el sector de reservas de viajes: se envían solicitudes falsas de verificación de tarjetas de crédito, mensajes que exigen pagos adicionales o notifican problemas técnicos y que requieren confirmación urgente de datos bancarios, todo esto bajo una apariencia de legitimidad. A medida que se acerca el viaje, el temor de que se cancele una reserva o se alteren los planes lleva a los viajeros a reaccionar de manera rápida sin comprobar su veracidad.
Según empresas de seguridad como Bridewell y Sekoia, la enorme red de Booking.com podría ser una de sus principales debilidades, pues facilita que los atacantes lancen campañas de phishing para alojamientos y clientes. Asimismo, los softwares de reserva de los hoteles, a veces más vulnerables, pueden ser la puerta de entrada de malware que roben las credenciales de acceso a la plataforma y los datos de reservas.
No es la primera vez
En 2018, un phishing telefónico robó credenciales de empleados de un hotel en Emiratos Árabes y expuso los datos de más de 4.000 clientes. La empresa lo notificó meses después, lo que le generó una multa por 475.000 euros en 2021 por parte de la Autoridad de Protección de Datos de los Países Bajos.
Además, entre 2023 y 2024, en Reino Unido se reportaron cientos de estafas relacionadas con cuentas de hoteles comprometidas. En 2025, investigaciones de empresas de ciberseguridad detectaron nuevas campañas de phishing y malware dirigidas al personal hotelero. Y a inicios de 2026, los atacantes llegaron a usar incluso el chat de la plataforma para contactar directamente a huéspedes con mensajes fraudulentos.
¿Qué sigue ahora?
Debido a que la plataforma tiene su sede en Ámsterdam, debe regirse con el Reglamento General de Protección de Datos (RGPD) local, que es la normativa europea de privacidad y seguridad que regula cómo las empresas recopilan, tratan y almacenan datos personales de residentes de la Unión Europea.
Para este caso, el RGPD obliga a las empresas a notificar a la autoridad reguladora competente —en este caso la Autoridad de Protección de Datos holandesa— en un plazo máximo de 72 horas desde que detectan la anormalidad, no desde que la investigan. Ahora, el RGPD establece que las infracciones graves pueden acarrear sanciones de hasta el 4 % de la facturación anual global de la empresa.
El problema es que Booking.com no ha revelado cuándo detectó exactamente la intrusión, lo que hace imposible determinar si el plazo de las 72 horas ya venció o no. Por ahora, ningún regulador europeo ha anunciado una investigación formal.
¿Cómo proteger sus datos?
Para quienes tienen una reserva en Booking.com, es importante saber identificar un mensaje fraudulento. La plataforma no solicita datos de tarjeta por correo, llamadas, WhatsApp o SMS, ni pide transferencias distintas a las indicadas en la confirmación original. Si un mensaje lo hace, es una estafa.
También hay que desconfiar de contactos desde números desconocidos, enlaces para “reconfirmar” pagos o advertencias urgentes sobre cancelaciones. Lo más seguro es no hacer clic en enlaces y verificar la reserva directamente en la app o página oficial. Ante cualquier duda, se recomienda contactar al hotel a través de los canales de la plataforma.
De esta forma, los usuarios pueden reducir el riesgo de caer en estafas. Sin embargo, este caso también deja en evidencia un problema que sigue sin resolverse en el sector de las reservas de viaje: la seguridad de las plataformas, así como la necesidad de mayor transparencia con la que se manejan estos incidentes por parte de estas compañías.
