Escuchar
Si usted es de las personas que gusta viajar dentro de Costa Rica y al exterior, es posible que utilice la plataforma de reservaciones Booking.com. Y probablemente dejó ahí sus datos, que ahora podrían estar en manos de los ciberdelincuentes.
No es la única persona que lo hace. Booking no publica el número exacto de usuarios registrados, pero se sabe que la plataforma recibe hasta 650 millones de visitas mensuales a nivel global y que en 2024 su app superó los 100 millones de usuarios, con las reservas móviles representando cerca del 60% del total.
Desde 2010, registra más de 6.800 millones de llegadas de huéspedes en las propiedades que ofrecen sus servicios de hospedaje a través suyo.
Y todo eso aumenta año con año. En su último informe financiero, la compañía indicó que las pernoctaciones aumentaron un 8 % con respecto a 2024, lo mismo que los ingresos (13%) que llegaron en 2025 a $26.917 millones a nivel global.
Pero semejante monstruo no está exento de ciberataques. Booking confirmó al sitio neoyorquino de noticias BleepingComputer que unos hackers accedieron a los datos “de algunos usuarios, específicamente a la información de sus reservas”.
“Detectamos actividad sospechosa relacionada con el acceso no autorizado de terceros a la información de reserva de algunos de nuestros huéspedes”, dijo Sage Hunter, responsable del área de comunicaciones de Booking, a BleepingComputer.
También dijo que tomó medidas inmediatas: restableció los PIN de las reservas existentes y pasadas e informó directamente a los usuarios afectados por correo electrónico. Además, llamó a los usuarios a tener cuidado con correos electrónicos y llamadas telefónicas sospechosas, recordándoles que el servicio nunca solicitará información confidencial ni transferencias bancarias.
Los tipos de datos comprometidos incluyen: nombres completos, direcciones de correo electrónico, direcciones postales, números de teléfono y comunicaciones compartidas con los proveedores del alojamiento.
Sofisticación
La confirmación del ciberataque se realizó después de que “algunos” usuarios de Reddit alertaron que recibieron mensajes con información privada de sus reservaciones, aunque no está claro si estos informes se relacionan con el hackeo a Booking.
Ahí documentaron los mensajes sospechosos recibidos mediante correos electrónicos y WhatsApp con datos personales como nombres completos, detalles específicos de las estadías y en los que realizaban solicitudes urgentes de pago.
La firma de ciberseguridad ESET advirtió que el ciberataque demuestra la sofisticación de los ciberdelincuentes, donde se hacen pasar por la empresa o por socios hoteleros, utilizando datos reales para llevar adelante estafas.
“El uso de datos reales para construir mensajes falsos es una táctica común de la ingeniería social”, dijo Mario Micucci, investigador de seguridad informática de ESET Latinoamérica. “Ante este tipo de incidentes, la precaución debe extremarse no solo frente a correos electrónicos, sino también ante contactos por WhatsApp y mensajes enviados dentro del chat de la plataforma”.
ESET recomendó a los usuarios el cambio de contraseñas, activar la autenticación en dos factores, desconfiar de mensajes que le urgen a pagos inmediatos, tener cuidado con enlaces externos, recordar que WhatsApp no es una vía segura para transacciones, verificar por canales independientes y recordar que las empresas no suelen solicitar datos de tarjetas ni pagos a través de enlaces enviados por WhatsApp o correo electrónico.
