Booking.com fue hackeada y tus datos de viaje están en manos de estafadores: el checklist urgente

Si usas Booking.com y tienes o tuviste una reservación activa este año, hay probabilidades reales de que tus datos ya estén en manos de alguien que no debería tenerlos. No es alarmismo: el 13 de abril Booking.com comenzó a notificar a sus usuarios de que hubo acceso no autorizado a datos de reservaciones. Para el 14 ya era trending en medios de seguridad como BleepingComputer y TechCrunch. Y lo más preocupante: la información ya se está usando activamente para estafar.

Qué pasó y qué datos se filtraron

Booking.com confirmó a TechCrunch que “terceros no autorizados” accedieron a datos de reservaciones de sus clientes. El comunicado oficial fue vago (como siempre con estas cosas), pero lo que se sabe con certeza que se filtró es:

• Nombre completo
• Correo electrónico
• Dirección física
• Número de teléfono
• Detalles de la reservación: nombre del hotel, fechas, número de confirmación
• Mensajes privados entre huésped y hotel (que pueden incluir datos de pasaporte, condiciones médicas o restricciones de dieta)

Lo que NO se filtró, según la compañía: datos de tarjetas de crédito, contraseñas de cuenta o información financiera. Ahorita eso es lo más positivo que hay para decir.

Booking.com no ha divulgado cuántos usuarios fueron afectados. Tienen más de 100 millones de usuarios activos globalmente, y lo único que dijeron fue “un número de reservaciones”. Esa opacidad ya es sospechosa de inicio.

Cómo le entraron: fue un ataque de cadena de suministro

Aquí está lo que hace que esta brecha sea más sofisticada que el típico “nos hackearon el servidor”: los atacantes no fueron directo a Booking.com. Fueron por los hoteles.

El método documentado por investigadores de Bridewell y Sekoia funciona así:

1. Mandan correos de phishing a empleados de hoteles haciéndose pasar por Booking.com, dirigiéndolos a páginas falsas de CAPTCHA que instalan un troyano llamado PureRAT.
2. Con ese malware roban las credenciales del portal de administración que los hoteles usan para gestionar reservaciones.
3. Con esas credenciales legítimas acceden al extranet de Booking.com y ven todos los datos de los viajeros.

Microsoft documentó una variante del ataque usando la técnica ClickFix, donde engañan a los empleados del hotel para que ellos mismos corran comandos maliciosos en su propia computadora creyendo que están “arreglando un problema técnico”. Las credenciales de acceso a portales de hoteles en Booking.com se venden en foros rusos desde $5 hasta $5,000 dólares, dependiendo del tamaño de la propiedad.

No es un hack de película, pero funciona de puta madre para los atacantes.

La ola de phishing que ya está activa y es muy convincente

Este es el verdadero problema: la gente ya estaba recibiendo mensajes sospechosos antes de que Booking.com hiciera el anuncio oficial. Lo que significa que los datos llevaban tiempo circulando.

Los esquemas activos documentados:

Suplantación del hotel por WhatsApp o SMS: Alguien te escribe haciéndose pasar por el hotel que reservaste. Sabe el nombre del hotel, tus fechas exactas y tu número de confirmación. Te dice que hay un problema con el pago y te manda un link a una página falsa.

Estafa de “problema con la reservación”: Te llaman o mandan email diciendo que hubo un doble cobro, error técnico o que tu reservación está en riesgo de cancelarse. El pretexto varía, pero el destino siempre es la misma página de pago trucha.

Una víctima confirmada perdió $100 dólares en una estafa de WhatsApp donde el estafador citó sus datos exactos de reservación. El nivel de personalización es lo que hace peligrosas estas campañas: ya no son esos emails genéricos con errores de ortografía que todos sabemos ignorar.

Como bien apuntó Malwarebytes en su análisis: cuando el mensaje dice tu nombre, el hotel donde vas a quedarte y tus fechas exactas, el cerebro lo procesa como legítimo casi de forma automática. Y eso es exactamente lo que los atacantes querían.

Vale la pena recordar que este riesgo no es solo para las reservaciones en plataformas de viaje. Como vimos con el caso de Google que quiere acceder a tu Gmail, fotos e historial, la cantidad de datos personales que las empresas tech acumulan sobre nosotros es enorme, y cada brecha expone capas cada vez más profundas de información.

El checklist urgente: haz esto hoy

Si tienes o tuviste una reservación en Booking.com en los últimos meses, esto es lo mínimo que debes hacer:

Inmediato:

• Revisa si recibiste un email de Booking.com entre el 13 y 15 de abril con asunto sobre “acceso no autorizado” o similar. Si no lo recibiste, tu reservación pudo no estar afectada, pero no lo des por hecho.
• Cambia tu PIN de reservación en Booking.com (ellos ya lo resetearon de forma masiva, pero confirma que el tuyo esté actualizado).
• Activa la verificación en dos pasos en tu cuenta de Booking.com si no la tienes.

Ante mensajes sospechosos:

• Si recibes un WhatsApp, SMS o llamada de tu “hotel” pidiendo datos de pago: cuelga o ignora. Llama directamente al hotel con el número que encuentres en Google, nunca el que venga en el mensaje.
• Booking.com jamás te pedirá datos de tarjeta por WhatsApp, SMS, email ni llamada telefónica. Cualquier pago legítimo se hace dentro de la app o sitio oficial.
• Antes de hacer clic en cualquier link que llegue relacionado a tu viaje, verifica que la URL sea exactamente booking.com. Los atacantes usan dominios como b00king.com, booking-confirmation.net, etc.

Monitoreo:

• Revisa tus estados de cuenta bancarios de los próximos días con más atención de la normal.
• Si usas la misma contraseña de Booking.com en otros servicios, cámbiala en todos ya. (Si haces esto constantemente, considera un gestor de contraseñas.)

Para detectar si un mensaje sospechoso es phishing antes de interactuar con él, puedes usar cualquiera de los asistentes de IA actuales para analizarlo. Si no sabes cuál usar, hay una comparativa de los 5 mejores: ChatGPT vs Claude vs Gemini vs Grok vs DeepSeek que puede orientarte.

Booking.com ya la debe: no es la primera vez

Esto no es debut de la empresa en el mundo de las brechas. En 2018 ya les pasó algo similar: un ataque de phishing contra hoteles en Emiratos Árabes Unidos expuso datos de más de 4,000 clientes. El problema adicional fue que Booking.com tardó 22 días en reportarlo, cuando el GDPR exige hacerlo en máximo 72 horas. Resultado: una multa de €475,000 de la autoridad holandesa de protección de datos en 2021.

Esta vez notificaron a la autoridad holandesa relativamente rápido (Booking.com tiene sede en Ámsterdam y está sujeta a GDPR). Pero el mecanismo del ataque es prácticamente idéntico al que llevaba años funcionando: entre 2023 y 2024, la policía de Reino Unido registró 532 denuncias relacionadas con Booking.com que sumaron aproximadamente £370,000 en pérdidas, todas producto de credenciales de hoteles robadas de la misma forma.

La empresa tiene un problema estructural con la seguridad de sus portales de socios, y los parches cosméticos no lo van a resolver.

Por lo pronto: abre bien los ojos, no confíes en mensajes que llegan “de tu hotel” por canales externos a la plataforma, y si ya te cayó un mensaje raro, no esperes para reportarlo a Condusef o a la CNBV si ya te cobraron algo.

---

Fuentes

• Booking.com confirms hackers accessed customers’ data - TechCrunch
• New Booking.com data breach forces reservation PIN resets - BleepingComputer
• Booking.com breach gives scammers what they need to target guests - Malwarebytes
• Ciberataque a Booking: nombres, reservas y direcciones expuestas - El Financiero
• Booking.com confirma hackeo y filtración de datos de clientes - Infobae
• El hackeo de Booking es algo más inquietante - Xataka
• Booking.com Breach Shows Exactly How Smishing Attacks Get Made - Security Boulevard