Cuidado con los mensajes falsos sobre tus reservas: el ciberataque a Booking dispara los intentos de fraude por phishing

Si has recibido un correo electr?nico de Booking.com con el asunto "Actualizaci?n de seguridad importante", no se trata de un intento de phishing ni de una estafa, sino de una notificaci?n real que podr?a afectar directamente a tu cuenta. Seg?n el diario The Guardian, y tal como ha confirmado la propia compa??a, la plataforma ha sufrido una brecha de seguridad.

Seg?n la informaci?n disponible, Booking.com sufri? un acceso no autorizado a determinadas secciones donde se almacenan datos de clientes. La empresa detect? la actividad sospechosa, asegur? haber controlado el incidente y procedi? a actualizar los PIN de las reservas afectadas. Como es habitual, tambi?n notific? el problema directamente a los usuarios implicados.

Los datos a los que podr?an haber accedido los atacantes incluyen, adem?s de la informaci?n de la reserva, el nombre y apellidos del usuario, su direcci?n de correo electr?nico, n?mero de tel?fono y cualquier informaci?n compartida con el alojamiento (documentos, solicitudes o preferencias).

Aunque no est? confirmado, tambi?n podr?an haberse visto comprometidos datos como direcciones f?sicas. No obstante, el medio TechCrunch apunta a que esto no habr?a ocurrido. En cualquier caso, la empresa insiste en que los datos financieros permanecen protegidos.

Por el momento, se desconoce qui?n est? detr?s del ataque y c?mo se llev? a cabo. Sin embargo, los riesgos son significativos. La informaci?n obtenida permite construir perfiles bastante precisos de los usuarios, lo que los convierte en objetivos potenciales de nuevos intentos de phishing.

Por ejemplo, los delincuentes podr?an enviar mensajes personalizados haci?ndose pasar por el alojamiento para solicitar pagos. De hecho, un usuario afirm? haber recibido un mensaje de WhatsApp con datos reales de su reserva poco antes de recibir la notificaci?n oficial de Booking.com.

Este tipo de t?cnica no es nueva. Ya en 2023, The Guardian inform? de ataques similares en los que los clientes recib?an correos electr?nicos fraudulentos con informaci?n precisa sobre sus reservas.

Antecedentes

No es la primera vez que los usuarios de Booking.com se ven afectados por incidentes de seguridad. Sin embargo, plataformas como Have I Been Pwned no incluyen a la empresa entre los servicios con grandes filtraciones registradas.

Aun as?, existen precedentes. El Comit? Europeo de Protecci?n de Datos inform? de un incidente en 2018, cuando una estafa telef?nica afect? a 40 hoteles en los Emiratos ?rabes Unidos. Los atacantes lograron enga?ar a empleados para obtener sus credenciales de acceso a la plataforma, lo que les permiti? acceder a los datos de 4.109 clientes.

Aunque la filtraci?n se notific? internamente de inmediato, no se hizo p?blica hasta febrero de 2019. Este retraso llev? a la Autoridad de Protecci?n de Datos de los Pa?ses Bajos a imponer una multa de 475.000 euros a la compa??a.

Los antecedentes sugieren que, m?s que vulneraciones directas del sistema central de Booking.com, el punto d?bil podr?a estar en sus socios y alojamientos, especialmente frente a ataques de phishing.

Esto coincide con lo se?alado por Malwarebytes, que describe el caso de un turista en Verona. Tras hacer una reserva, recibi? un mensaje aparentemente enviado desde el sistema oficial de la plataforma solicitando informaci?n adicional y un pago anticipado. El usuario, Robert Woodford, confi? en el mensaje y realiz? el pago, pero despu?s descubri? que se trataba de un fraude: el nombre del comerciante no coincid?a. En ese caso, el problema no fue la plataforma, sino que el hotel hab?a sido comprometido.

Fortalezas y debilidades del ecosistema

Una de las principales fortalezas —y a la vez debilidad— de Booking.com es la enorme escala de su red. La plataforma cuenta con unos 100 millones de usuarios activos en su aplicaci?n m?vil, m?s de 500 millones de visitas mensuales y m?s de 1.100 millones de noches reservadas en 2024.

Este volumen no implica necesariamente que sus sistemas internos sean vulnerables, pero s? facilita que los atacantes lancen campa?as masivas de phishing dirigidas tanto a alojamientos como a clientes, como ya ocurri? el a?o pasado seg?n Sekoia.

Adem?s, muchos hoteles utilizan software de terceros para gestionar reservas, lo que introduce nuevos riesgos. Vulnerabilidades detectadas en plugins de WordPress —como Service Finder Bookings, Booking Activities, WP Hotel Booking o Hotel Booking Lite— han permitido en algunos casos la subida de archivos maliciosos y el acceso a datos confidenciales.

Si estas debilidades se combinan con bases de datos que contienen nombres, tel?fonos y detalles de estancias, el impacto puede ser considerable. Por ahora, se trata de hip?tesis, pero resulta relevante que Booking.com haya actualizado recientemente sus p?ginas de soporte para alojamientos asociados.