La seguridad en las plataformas de viajes vuelve a estar bajo el foco internacional. Booking.com ha confirmado recientemente un incidente de seguridad en el que terceros no autorizados lograron acceder a una base de datos crítica que contiene nombres, correos electrónicos y números de teléfono.
Aunque la compañía se ha apresurado a aclarar que los datos financieros y las direcciones domiciliarias no han sido comprometidos, la filtración de la hoja de ruta de los viajeros abre la puerta a una modalidad de fraude mucho más sofisticada y difícil de detectar.
El incidente se dio a conocer tras un fin de semana marcado por la incertidumbre, cuando miles de usuarios comenzaron a recibir correos oficiales informando sobre el acceso indebido a su información.
Ante la gravedad de la brecha, la empresa ha procedido al reseteo preventivo de los números PIN de las reservas afectadas, tanto actuales como pasadas.
Sin embargo, el hermetismo de la multinacional persiste: a día de hoy, se desconoce el número exacto de afectados y si el origen del fallo reside en una vulnerabilidad directa de sus sistemas o en una brecha a través de proveedores externos.
El mayor peligro para el consumidor no reside solo en el robo del dato, sino en lo que los expertos denominan "phishing de seguimiento". Al poseer detalles reales sobre fechas de entrada y destinos, los ciberdelincuentes están enviando mensajes de WhatsApp y correos electrónicos que imitan a la perfección las notificaciones legítimas de la plataforma (como los clásicos recordatorios de "¡Falta una semana para tu viaje!").
Este nivel de personalización, potenciado por herramientas de inteligencia artificial, hace que el usuario baje la guardia y acceda a enlaces fraudulentos que buscan, esta vez sí, capturar sus credenciales bancarias.
Este episodio evoca los problemas que la plataforma ya enfrentó en 2021, cuando fue multada con 475.000 euros por los reguladores holandeses tras notificar un hackeo con 22 días de retraso.
La actual brecha de seguridad pone a prueba nuevamente el cumplimiento del Reglamento General de Protección de Datos (RGPD), que exige informar de tales incidentes en un plazo máximo de 72 horas.
Si se demuestra una demora negligente en la comunicación, la empresa podría enfrentarse a sanciones económicas mucho más severas que las de hace cinco años.
En el actual ecosistema digital, la información personal se ha convertido en una moneda de cambio de alto valor en el mercado negro, donde bases de datos como esta se venden a grupos especializados en ataques masivos de ingeniería social.
Para los usuarios de la plataforma, la recomendación de los expertos en ciberseguridad es clara: desconfiar de cualquier comunicación que solicite pagos o datos de tarjeta fuera de la aplicación oficial, incluso si el mensaje contiene detalles correctos del hotel o la fecha del viaje.
Booking ha asegurado que informará individualmente a cada afectado, pero el riesgo de que la información ya esté circulando por foros de piratería informática obliga a extremar las precauciones de forma inmediata para evitar que unas vacaciones soñadas se conviertan en una pesadilla financiera.
Con información de Xataka
