Este lunes, la plataforma de reservas de alojamiento Booking reconoció, a través de un comunicado, que fue víctima de un ciberataque. “Recientemente detectamos actividad sospechosa que implicaba que terceros no autorizados pudieran acceder a cierta información de reservas de algunos clientes”, admitió.
La compañía con sede en Ámsterdam (Países Bajos) detalló que actores no autorizados accedieron a datos de sus clientes: nombres, correos electrónicos, números de teléfono y detalles de reservas activas que, posteriormente, fueron utilizados por ciberdelincuentes para realizar intentos de fraude mediante alertas de seguridad falsas. Si bien los datos financieros no fueron comprometidos, eso no elimina el riesgo.
¿Por qué importa? De acuerdo con Eset, con esa información, los atacantes pueden construir mensajes de phishing personalizados y altamente convincentes. “Saben tu nombre, a qué hotel vas y cuándo llegas. Ya hay usuarios reportando mensajes por WhatsApp y correo que parecen legítimos porque usan sus datos reales. Esto se llama phishing de seguimiento, y es mucho más difícil de detectar que un mensaje genérico”, advierte Eset a través de su red social LinkedIn.
En el phishing de seguimiento —también llamado spear phishing contextual o smishing cuando llega por SMS o WhatsApp— el atacante ya tiene tus datos reales: sabe que te llamas Pedro Pérez, que llegas al hotel Caribe en Piura el próximo jueves a las 15:00, y que tu reserva tiene el número 2345-ZY. «Con esa información, te envía un mensaje que parece perfectamente legítimo», precisa el portal El Ecosistema Startup.
En cambio, en el phishing clásico el atacante no sabe nada de ti. Te llega un correo genérico que dice «hemos detectado actividad sospechosa en tu cuenta». No sabe tu nombre.
En ese sentido, si tienes una reserva activa en Booking, Eset recomienda lo siguiente:
- No hagas clic en enlaces de correos o mensajes sobre tu reserva, aunque tengan tus datos correctos
- Verifica cualquier novedad ingresando directamente a la aplicación oficial.
- Desconfía de solicitudes urgentes de pago o actualización de datos.
Booking no ha precisado cuántos clientes se han visto afectados por el incidente ni durante cuánto tiempo pudieron los atacantes acceder a los sistemas. Tampoco la fecha exacta en la que se produjo el acceso no autorizado a los datos de los clientes.
“Tan pronto como identificamos esta actividad, tomamos medidas para contener el problema. Actualizamos los PIN de esas reservas e informamos a nuestros huéspedes”, concluyó.