Toni Martinez 
Alerta de un robo de datos personales en Booking.
La plataforma confirma un ciberataque que afectó a información de reservas, aunque no a datos financieros
Booking notificó a varios usuarios el robo de información personal vinculada a sus reservas tras detectar un ciberataque atribuido a “terceros no autorizados”. La compañía confirmó que la actividad sospechosa pudo permitir el acceso a determinados datos de reservas de algunos clientes.
La información expuesta puede incluir detalles de la reserva, nombres, correos electrónicos, direcciones, números de teléfono asociados y cualquier dato compartido con el alojamiento. Booking aseguró que no se accedió a información financiera desde sus sistemas. Como medida preventiva, la empresa actualizó el número PIN de las reservas afectadas e informó a los clientes.
La compañía con sede en Ámsterdam recomendó a los usuarios mantenerse alerta ante posibles intentos de phishing. Booking recordó que nunca solicita datos de tarjetas de crédito por correo electrónico, teléfono, WhatsApp o mensaje de texto, ni pide transferencias bancarias distintas de la política de pago indicada en la confirmación de reserva.
El impacto del incidente no se limita al acceso inicial a datos. En el sector turístico, la información de una reserva permite diseñar fraudes muy creíbles: mensajes personalizados, suplantación del alojamiento, falsas solicitudes de pago, cambios urgentes de tarjeta o enlaces a páginas falsas. El riesgo aumenta cuando el atacante conoce fechas, destino, nombre del establecimiento y datos de contacto del cliente.
Desde el punto de vista operativo, se trata de un caso relevante para hoteles, apartamentos turísticos, plataformas de intermediación y usuarios. El dato robado no tiene por qué incluir una tarjeta bancaria para ser valioso. Basta con que permita construir una comunicación verosímil y presionar al cliente para realizar un pago fuera del canal oficial.
La recomendación para los afectados es comprobar cualquier mensaje directamente desde la aplicación o web oficial de Booking, no seguir enlaces recibidos por canales externos, no facilitar tarjetas por mensajería y contactar con el alojamiento solo mediante vías verificadas. Para empresas turísticas, el caso refuerza la necesidad de formar al personal, revisar accesos, activar doble factor y limitar la exposición de datos de clientes.
El incidente queda como advertencia sobre una realidad consolidada: los ciberataques contra plataformas de viaje no solo buscan información financiera, sino datos suficientes para lanzar fraudes dirigidos y difíciles de distinguir de una comunicación legítima.