LUN 20/04
TDC 17.2447
MAR 10/03
INPC 145.5440
MIE 01/04
RECARGOS FEDERALES 2.07%
DOM 01/02
UMA 117.31
Booking.com confirmó una vulneración de seguridad que permitió a terceros no autorizados acceder a información de reservas de sus usuarios.
Booking.com, plataforma para reservar viajes y hospedaje en línea, confirmó el acceso no autorizado a datos de sus usuarios que posteriormente fueron utilizados para realizar intentos de fraude mediante alertas de seguridad falsas.
El incidente se hizo público después de que clientes recibieran correos electrónicos oficiales de alerta enviados por la plataforma durante el fin de semana, en los que se informó sobre la filtración y se indicó que, entre las medidas de emergencia, se encontraba la redefinición de los PIN de las reservas.
ÚNETE A IDC en nuestro canal de Whatsapp
ESET, compañía de ciberseguridad, analizó dicha vulneración de datos pues encendió las alertas sobre estafas de ingeniería social y reforzó la necesidad de tener mayor vigilancia en plataformas de viajes.
Aunque Booking.com notificó directamente por correo electrónico a los usuarios afectados, el incidente demostró que los ataques se han sofisticado y que los delincuentes podrían hacerse pasar por la empresa o por socios hoteleros, para obtener datos reales y utilizarlos para estafar a los clientes.
¿Cómo sucedió el ataque a booking.com?
Booking.com emitió un comunicado oficial, en el que aclaró que no hubo evidencia de una intrusión directa en sus sistemas centrales, pero confirmó que terceros lograron acceder a información de reservas de algunos usuarios.
Como medida inmediata, la compañía forzó la redefinición de todos los códigos PIN asociados a reservas, con el objetivo de impedir cualquier manipulación posterior.
Sage Hunter, responsable del área de comunicaciones de Booking.com, confirmó la vulneración en una declaración oficial publicada por BleepingComputer:
“Recientemente detectamos actividad sospechosa que involucró a terceros no autorizados que lograron acceder a la información de reservas de algunos de nuestros clientes. Tan pronto como identificamos esta actividad, tomamos medidas para contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”, declaró.
La empresa no informó sobre la cantidad total de usuarios afectados, pero aseguraron que todas las víctimas serán notificadas de manera individual.
Aunado a esto, destacó que se mantiene la atención al cliente en varios idiomas, disponible las 24 horas, para orientar a los usuarios frente a posibles intentos de fraude en curso o en un futuro.
Varias víctimas recurrieron a foros como Reddit para documentar la recepción de mensajes sospechosos enviados por correo electrónico y WhatsApp. Los usuarios indicaron que los estafadores tuvieron acceso a información privada como nombres completos y detalles específicos de las estadías, y utilizaron esos datos para dar credibilidad a solicitudes urgentes de pago.
“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social, cuyo objetivo es aprovechar la confianza del usuario para obtener un beneficio económico. Ante este tipo de incidentes, la precaución debe extremarse no solo frente a correos electrónicos, sino también ante contactos por WhatsApp y mensajes enviados dentro del chat de la plataforma”, advirtió el Investigador de Seguridad Informática de ESET Latinoamérica, Mario Micucci.
Asimismo, Booking.com y ESET compartieron algunas recomendaciones de seguridad:
- No acceder a enlaces enviados por correo o chat para realizar pagos o validar información financiera. Cualquier gestión financiera debe realizarse únicamente en la app oficial
- Cambio de contraseñas: es fundamental actualizar la contraseña de acceso a la plataforma. Si esa misma contraseña se utiliza en otros servicios, también se recomienda cambiarla
- Activación de la autenticación en dos factores (MFA): la verificación en dos pasos es una de las barreras más eficaces. Con MFA activado, incluso si un atacante obtiene la contraseña, no podrá acceder sin el código adicional
- Desconfiar de la urgencia: los estafadores suelen amenazar con cancelaciones inmediatas (en cuatro o doce horas) para forzar decisiones rápidas
- Atención con WhatsApp: aunque es común que los hoteles contacten por WhatsApp para coordinar horarios de check-in, esta no es una vía segura para transacciones. Nunca compartir datos sensibles ni códigos recibidos por SMS
- Verificación por canales independientes: ante dudas sobre un cobro, es recomendable contactar directamente al alojamiento usando un número obtenido del sitio web oficial del hotel o de Google Maps, y no los datos incluidos en el mensaje sospechoso
¿Quieres saber más? ¡Sigue a IDC en Google News
