Booking.com confirmó el acceso no autorizado a datos de usuarios que posteriormente fueron utilizados
por ciberdelincuentes para realizar intentos de fraude, mediante alertas de seguridad falsas. El incidente
se hizo público después de que clientes recibieran correos electrónicos oficiales de alerta enviados por
la plataforma, en los que se informaba sobre la filtración y se indicaba que, entre las medidas de
emergencia, se encontraba la redefinición de los PIN de las reservas. ESET, compañía líder en detección
proactiva de amenazas, advierte que si bien Booking.com está notificando directamente por correo
electrónico a los usuarios afectados, el caso vuelve a poner el foco en la sofisticación de los ataques, en
los que los delincuentes podrían hacerse pasar por la empresa o por socios hoteleros, utilizando datos
reales de reservas para llevar adelante estafas.
En respuesta al incidente, Booking.com emitió un comunicado oficial, en el que aclaró que no hubo
evidencia de una intrusión directa en sus sistemas centrales, pero confirmó que terceros lograron
acceder a información de reservas de algunos usuarios. Como medida inmediata, la compañía forzó la
redefinición de todos los códigos PIN asociados a reservas, con el objetivo de impedir cualquier
manipulación posterior.
El incidente fue confirmado por Sage Hunter, responsable del área de comunicaciones de Booking.com,
en una declaración oficial publicada por BleepingComputer: “Recientemente detectamos una actividad
sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas
de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para
contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”.
Según el medio, la empresa no respondió a las consultas sobre la cantidad total de usuarios afectados,
aunque aseguró que todos serán notificados de forma individual. Además, destacó que mantiene
atención al cliente en varios idiomas, disponible las 24 horas, para orientar a los usuarios frente a
posibles intentos de fraude en curso.
Varios usuarios recurrieron a foros como Reddit para documentar la recepción de mensajes sospechosos
enviados por correo electrónico y WhatsApp. Los testimonios indican que los estafadores tuvieron
acceso a información privada, como nombres completos y detalles específicos de las estadías, y
utilizaron esos datos para dar credibilidad a solicitudes urgentes de pago.

Comentario en X alertando sobre contactos por WhatsApp fraudulentos. Fuente X

Pie de imagen: Comentarios de usuarios de Reedit.

“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social, cuyo
objetivo es aprovechar la confianza del usuario para obtener un beneficio económico. Ante este tipo de
incidentes, la precaución debe extremarse no solo frente a correos electrónicos, sino también ante
contactos por WhatsApp y mensajes enviados dentro del chat de la plataforma.”, advierte Mario
Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
En su sitio web, Booking.com comparte algunas recomendaciones de seguridad, como no acceder a
enlaces enviados por correo o chat para realizar pagos o validar información financiera, y advierte que
cualquier comunicación de este tipo debe considerarse una posible estafa.

Email enviado por Booking.com a los usuarios afectados.
ESET comparte algunos puntos clave para tener en cuenta para evitar fraudes:
 Cambio de contraseñas: Es fundamental actualizar la contraseña de acceso a la plataforma. Si esa
misma contraseña se utiliza en otros servicios, también se recomienda cambiarla.
 Activación de la autenticación en dos factores (MFA): La verificación en dos pasos es una de las
barreras más eficaces. Con MFA activado, incluso si un atacante obtiene la contraseña, no podrá
acceder sin el código adicional.
 Desconfiar de la urgencia: Los estafadores suelen amenazar con cancelaciones inmediatas (en 4 o
12 horas) para forzar decisiones rápidas. Ante cualquier ultimátum de pago por una reserva ya
confirmada, conviene sospechar.
 Cuidado con enlaces externos: Las empresas no suelen solicitar datos de tarjetas ni pagos a través
de enlaces enviados por chat o email. Cualquier gestión financiera debe realizarse únicamente
desde la sección “Mis reservas” del sitio o la app oficial.
 Atención con WhatsApp: Aunque es común que los hoteles contacten por WhatsApp para coordinar
horarios de check-in, esta no es una vía segura para transacciones. Nunca compartir datos sensibles
ni códigos recibidos por SMS.
 Verificación por canales independientes: Ante dudas sobre un cobro, es recomendable contactar
directamente al alojamiento usando un número obtenido del sitio web oficial del hotel o de Google
Maps, y no los datos incluidos en el mensaje sospechoso.