La plataforma de viajes en línea Booking.com ha admitido el acceso no autorizado a información de reserva de sus usuarios, incluyendo nombres completos, correos electrónicos y números de teléfono, lo que obligó a restablecer los PIN de reserva y activó alertas por riesgo de phishing.
Booking.com, una de las plataformas de viajes en línea más grandes del mundo, confirmó este 13 de abril de 2026, que terceros no autorizados accedieron a datos de reserva de algunos de sus usuarios. Este incidente de seguridad llevó a la compañía a implementar inmediatamente restablecimientos de PIN para reservas existentes y pasadas, tambien a notificar directamente a los usuarios afectados por correo electrónico. La brecha de datos expone información personal sensible, elevando el riesgo de ataques de phishing y fraudes dirigidos contra los viajeros.
La información comprometida incluye nombres completos, direcciones de correo electrónico, direcciones postales, números de teléfono y comunicaciones compartidas con los proveedores de alojamiento. Aunque Booking.com no ha revelado el número exacto de usuarios afectados, aseguró que cada persona impactada sería notificada individualmente.
Usuarios en Reddit ya habían reportado recibir correos electrónicos de la dirección oficial noreply@booking.com alertando sobre el incidente y proporcionando un nuevo PIN de reserva, como se observa en el hilo "Serious security breach confirmed by Booking.com". La ausencia de alertas simultáneas dentro de la aplicación de Booking.com generó confusión inicial sobre la legitimidad de estos correos.
Sage Hunter, líder de comunicaciones de Booking.com, confirmó el incidente de seguridad a BleepingComputer, declarando: "En Booking.com, estamos dedicados a la seguridad y protección de datos de nuestros huéspedes. Recientemente notamos actividad sospechosa que involucraba a terceros no autorizados accediendo a información de reserva de algunos de nuestros huéspedes. Al descubrir la actividad, tomamos medidas para contener el problema. Hemos actualizado el número PIN para estas reservas y hemos informado a nuestros huéspedes", según un artículo de BleepingComputer. La compañía enfatizó que no se accedió a información financiera o de pago durante la brecha, aunque la exposición de datos personales es una preocupación significativa.
La autenticidad de los datos robados facilita la ingeniería social, haciendo que las víctimas sean más propensas a caer en la trampa. Los correos ya recibidos por los afectados son un claro indicio de la inmediatez con la que los atacantes pueden explotar esta información, buscando credenciales o instando a realizar transferencias bancarias fraudulentas.
Booking.com ha instado a sus usuarios a extremar las precauciones ante correos electrónicos y llamadas telefónicas sospechosas, recordando que la plataforma nunca solicitará información sensible o transferencias bancarias fuera de los canales de pago confirmados. Este incidente se suma a una serie de desafíos de ciberseguridad que Booking.com ha enfrentado, incluyendo campañas de estafa previas en su plataforma.
La compañía recomienda a los usuarios no hacer clic en enlaces de mensajes que parezcan provenir del alojamiento o de Booking.com si resultan mínimamente sospechosos. La vigilancia constante y la verificación de la legitimidad de cualquier comunicación, especialmente aquellas que solicitan acciones urgentes o información personal, son cruciales para mitigar los riesgos derivados de esta brecha de datos. La empresa ha activado servicios de soporte al cliente 24/7 en múltiples idiomas para asistir a los afectados.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Johan Ricardo