Booking.com confirmó que hackers obtuvieron acceso no autorizado a datos de reservas de clientes en una violación de ciberseguridad que expuso información personal, incluyendo nombres, direcciones de correo electrónico, números de teléfono y detalles de reservas.
La plataforma de viajes con sede en Ámsterdam comenzó a notificar a los usuarios afectados el domingo por la noche sobre actividades sospechosas vinculadas a ciertas reservas. La empresa no especificó cuántos clientes resultaron afectados ni cuándo ocurrió la violación.
Recientemente detectamos actividades sospechosas que afectaban a un número de reservas e inmediatamente tomamos medidas para contener el problema. La seguridad de su información personal es nuestra máxima prioridad.
Booking.com — Correo electrónico a clientes afectados
La información expuesta puede incluir detalles de reservas, nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono y cualquier nota que los huéspedes compartieran directamente con los alojamientos. La empresa enfatizó que la información financiera y los datos de tarjetas de crédito no fueron accedidos durante el incidente.
Booking.com restableció los números de PIN para todas las reservas afectadas y afirmó que la situación está ahora bajo control. La plataforma conecta a millones de viajeros con más de 30 millones de establecimientos de alojamiento en todo el mundo a través de su sistema de reservas.
The Guardian enmarca este incidente como parte de un patrón preocupante de fallos de ciberseguridad en Booking.com, destacando el historial de brechas y multas regulatorias de la empresa. Su cobertura resalta el problema más amplio de la industria con listas falsas y estafas, posicionando este incidente dentro de las debilidades sistémicas de seguridad de la plataforma en lugar de como un evento aislado.
DutchNews ofrece un informe directo que contextualiza la violación dentro del panorama reciente de ciberseguridad de los Países Bajos, mencionando la gran brecha de Odido en telecomunicaciones. Su cobertura enfatiza la sede de Ámsterdam de la empresa y el entorno regulatorio, tratando este incidente como un hecho significativo pero manejable que requiere transparencia y procedimientos adecuados de divulgación.
Este es el último desafío de ciberseguridad para el gigante de viajes, que anteriormente había tenido dificultades con estafas en línea dirigidas a su plataforma. Los defraudadores han utilizado cada vez más tácticas de phishing para solicitar detalles de pago para la verificación de viajes, cobrando luego montos no autorizados.
En 2018, criminales emplearon métodos similares de phishing para robar credenciales de inicio de sesión de empleados de hoteles en los Emiratos Árabes Unidos, obteniendo acceso a datos de reservas de más de 4.000 usuarios de la plataforma. Ese incidente resultó en una multa de 475.000 euros después de que Booking.com reportara la violación a los reguladores de privacidad holandeses con 22 días de retraso.
La violación ocurre en medio de un mayor escrutinio de la industria sobre las listas falsas que proliferan en los sitios web de reservas. Booking.com opera como parte de Booking Holdings, la empresa estadounidense de 137.000 millones de dólares que también posee OpenTable, Agoda y Kayak, y emplea a más de 24.000 personas en todo el mundo.
La empresa no ha emitido detalles técnicos formales sobre cómo ocurrió la violación ni si está conectada con campañas de phishing en curso dirigidas a hoteles que utilizan su plataforma. Todos los clientes afectados han sido contactados directamente, según representantes de la compañía.