A las empresas de viajes les encanta decirte que tus datos están a salvo. Booking.com acaba de recordarnos a todos por qué es una promesa difícil de cumplir.
El gigante de las reservas con sede en Ámsterdam comenzó a notificar a sus clientes el 13 de abril que «terceros no autorizados» habían accedido a los datos de las reservas de los huéspedes. La información filtrada incluye detalles de las reservas, nombres, direcciones de correo electrónico, direcciones postales y números de teléfono; en definitiva, todo lo necesario para hacerse pasar de forma convincente por un hotel al ponerse en contacto con un huésped.
Al parecer, los delincuentes accedieron a los datos tras comprometer la seguridad de los hoteles asociados a Booking.com. Un informe de Microsoft atribuye la culpa a la técnica de phishing denominada «ClickFix», que engaña a las víctimas (en este caso, empleados de los hoteles) para que instalen malware camuflado como una «solución» para el ordenador.
Microsoft culpa de este ataque a un grupo criminal llamado Storm-1865, al que sorprendió llevando a cabo precisamente este tipo de campaña contra empleados de hoteles en toda Norteamérica, Oceanía, el sur y el sudeste asiático y Europa, distribuyendo malware malicioso como XWorm y VenomRAT a través de páginas CAPTCHA falsas.
En un aviso a sus clientes, Booking.com advirtió de que los datos filtrados podrían utilizarse con fines de phishing y afirmó que nunca solicitaría información confidencial ni transferencias bancarias.
Pero los estafadores cuentan con una estrategia probada para convertir los datos de reservas robados en dinero. Pueden apropiarse de una reserva haciéndose pasar por el hotel, enviar mensajes a los huéspedes exigiendo un pago adicional o solicitando los datos de la tarjeta de crédito para «verificar el pago». Los datos robados les proporcionan todo lo que necesitan para convencer al cliente del hotel de que son de fiar.
El organismo británico Action Fraud recibió 532 denuncias de estafas relacionadas con Booking.com como esta entre junio de 2023 y septiembre de 2024, en las que las víctimas perdieron 370 000 libras esterlinas (alrededor de 470 000 dólares).
Esto ya les ha ocurrido antes a los socios y clientes de Booking.com. En 2018, unos delincuentes llevaron a cabo una campaña de phishing dirigida a empleados de hoteles y accedieron a datos pertenecientes a clientes de Booking.com. Los estafadores también llevaron a cabo una campaña de suplantación de identidad por teléfono más adelante ese mismo año, dirigida a 40 hoteles de los Emiratos Árabes Unidos. Se sustrajeron los datos de más de 4000 clientes, incluidos los datos de las tarjetas de crédito de 300 personas. Booking.com tardó en notificar la violación de datos al regulador de privacidad neerlandés, que le impuso una multa de 475 000 € (alrededor de 560 000 $) en 2021.
El problema recurrente de las filtraciones de datos en el sector turístico
Las filtraciones de este tipo son habituales en el sector de los viajes. En enero de 2026, Eurail reveló una filtración que supuso la divulgación de números de pasaporte, direcciones y, en el caso de algunos viajeros, fotocopias de documentos de identidad y datos sanitarios. A KLM y Air France les robaron datos de clientes en agosto de 2025. Hertz, Dollar y Thrifty se vieron afectadas por el ataque de la banda Cl0p al software de transferencia de archivos Cleo, en el que los delincuentes sustrajeron permisos de conducir y datos de tarjetas de crédito.
Lo interesante de todos estos incidentes es que, al igual que en el robo de datos de Booking.com, todos ellos implican la vulneración de terceros, y no de las propias empresas de viajes. El sector turístico maneja enormes cantidades de números de pasaporte, tarjetas de pago e itinerarios. Y su estructura de seguridad, caracterizada por cadenas de suministro extensas, operaciones franquiciadas y plataformas de terceros, lo convierte en un blanco fácil.
Qué puedes hacer
¿Cuántos clientes se han visto afectados? Booking.com no lo ha revelado. Para una plataforma con más de 100 millones de usuarios activos de la aplicación móvil y 500 millones de visitas mensuales a su sitio web, ese silencio resulta preocupante.
Si has utilizado Booking.com recientemente, aquí tienes una guía práctica sobre seguridad. No confíes en los mensajes que te pidan que «verifiques» los datos de pago, aunque te lleguen a través de la propia plataforma.
A continuación se incluyen los consejos de Booking.com sobre estas estafas, publicados antes de este último incidente:
«Si no se indica ninguna política de pago por adelantado ni se exige ningún depósito, pero te piden que pagues por adelantado para garantizar tu reserva, es probable que se trate de una estafa».
Consulta el correo electrónico de confirmación de la reserva para saber cuánto debes pagar y cuándo. Si algo te parece sospechoso, ponte en contacto directamente con el establecimiento, en lugar de hacerlo a través de un enlace que te haya enviado alguien. Y revisa tus extractos bancarios. Los estafadores que se aprovechan de este tipo de datos no siempre actúan de inmediato.
¿Te parece que algo no va bien? Compruébalo antes de hacer clic.
Malwarebytes Guardte ayuda a analizar al instante enlaces, mensajes de texto y capturas de pantalla sospechosos.
Disponible conMalwarebytes Premium para todos tus dispositivos, y en laMalwarebytes para iOS Android.
