Cuidado con los mensajes falsos sobre tus reservas: el ciberataque a Booking dispara los intentos de fraude por phishing

Actualizado Mi�rcoles, 15 abril 2026 - 08:42Si has recibido un correo electr�nico de Booking.com con el asunto "Actualizaci�n de seguridad importante", no se trata de un intento de phishing ni de una estafa, sino de una notificaci�n real que podr�a afectar directamente a tu cuenta. Seg�n el diario The Guardian, y tal como ha confirmado la propia compa��a, la plataforma ha sufrido una brecha de seguridad. Seg�n la informaci�n disponible, Booking.com sufri� un acceso no autorizado a determinadas secciones donde se almacenan datos de clientes. La empresa detect� la actividad sospechosa, asegur� haber controlado el incidente y procedi� a actualizar los PIN de las reservas afectadas. Como es habitual, tambi�n notific� el problema directamente a los usuarios implicados.Los datos a los que podr�an haber accedido los atacantes incluyen, adem�s de la informaci�n de la reserva, el nombre y apellidos del usuario, su direcci�n de correo electr�nico, n�mero de tel�fono y cualquier informaci�n compartida con el alojamiento (documentos, solicitudes o preferencias).Aunque no est� confirmado, tambi�n podr�an haberse visto comprometidos datos como direcciones f�sicas. No obstante, el medio TechCrunch apunta a que esto no habr�a ocurrido. En cualquier caso, la empresa insiste en que los datos financieros permanecen protegidos.Por el momento, se desconoce qui�n est� detr�s del ataque y c�mo se llev� a cabo. Sin embargo, los riesgos son significativos. La informaci�n obtenida permite construir perfiles bastante precisos de los usuarios, lo que los convierte en objetivos potenciales de nuevos intentos de phishing.Por ejemplo, los delincuentes podr�an enviar mensajes personalizados haci�ndose pasar por el alojamiento para solicitar pagos. De hecho, un usuario afirm� haber recibido un mensaje de WhatsApp con datos reales de su reserva poco antes de recibir la notificaci�n oficial de Booking.com.Este tipo de t�cnica no es nueva. Ya en 2023, The Guardian inform� de ataques similares en los que los clientes recib�an correos electr�nicos fraudulentos con informaci�n precisa sobre sus reservas.AntecedentesNo es la primera vez que los usuarios de Booking.com se ven afectados por incidentes de seguridad. Sin embargo, plataformas como Have I Been Pwned no incluyen a la empresa entre los servicios con grandes filtraciones registradas.Aun as�, existen precedentes. El Comit� Europeo de Protecci�n de Datos inform� de un incidente en 2018, cuando una estafa telef�nica afect� a 40 hoteles en los Emiratos �rabes Unidos. Los atacantes lograron enga�ar a empleados para obtener sus credenciales de acceso a la plataforma, lo que les permiti� acceder a los datos de 4.109 clientes.Aunque la filtraci�n se notific� internamente de inmediato, no se hizo p�blica hasta febrero de 2019. Este retraso llev� a la Autoridad de Protecci�n de Datos de los Pa�ses Bajos a imponer una multa de 475.000 euros a la compa��a.Los antecedentes sugieren que, m�s que vulneraciones directas del sistema central de Booking.com, el punto d�bil podr�a estar en sus socios y alojamientos, especialmente frente a ataques de phishing.Esto coincide con lo se�alado por Malwarebytes, que describe el caso de un turista en Verona. Tras hacer una reserva, recibi� un mensaje aparentemente enviado desde el sistema oficial de la plataforma solicitando informaci�n adicional y un pago anticipado. El usuario, Robert Woodford, confi� en el mensaje y realiz� el pago, pero despu�s descubri� que se trataba de un fraude: el nombre del comerciante no coincid�a. En ese caso, el problema no fue la plataforma, sino que el hotel hab�a sido comprometido.Fortalezas y debilidades del ecosistemaUna de las principales fortalezas —y a la vez debilidad— de Booking.com es la enorme escala de su red. La plataforma cuenta con unos 100 millones de usuarios activos en su aplicaci�n m�vil, m�s de 500 millones de visitas mensuales y m�s de 1.100 millones de noches reservadas en 2024.Este volumen no implica necesariamente que sus sistemas internos sean vulnerables, pero s� facilita que los atacantes lancen campa�as masivas de phishing dirigidas tanto a alojamientos como a clientes, como ya ocurri� el a�o pasado seg�n Sekoia.Adem�s, muchos hoteles utilizan software de terceros para gestionar reservas, lo que introduce nuevos riesgos. Vulnerabilidades detectadas en plugins de WordPress —como Service Finder Bookings, Booking Activities, WP Hotel Booking o Hotel Booking Lite— han permitido en algunos casos la subida de archivos maliciosos y el acceso a datos confidenciales.Si estas debilidades se combinan con bases de datos que contienen nombres, tel�fonos y detalles de estancias, el impacto puede ser considerable. Por ahora, se trata de hip�tesis, pero resulta relevante que Booking.com haya actualizado recientemente sus p�ginas de soporte para alojamientos asociados.