Booking ha confirmat el robatori d'informació personal d'alguns clients després de detectar un ciberatac que hauria permès a tercers no autoritzats accedir a dades vinculades a reserves. La companyia sosté que, de moment, no s'ha registrat accés a informació financera des dels sistemes de Booking.com.
L'empresa ha explicat que va detectar activitat sospitosa relacionada amb un possible accés indegut a determinada informació de reserves per part dels seus usuaris. L'abast exacte de la incidència no s'ha detallat, tot i que sí que s'ha confirmat que afecta dades personals d'alguns clients.
"Recentment vam detectar activitat sospitosa que implicava que tercers no autoritzats podien accedir a certa informació de reserves d'alguns clients" - Booking
El risc es concentra en l'ús fraudulent de les dades de reserva
Més enllà d'un possible robatori de dades bancàries, els especialistes en ciberseguretat adverteixen que aquest tipus de bretxes pot facilitar fraus molt dirigits. La informació associada a una reserva permet construir comunicacions que aparenten ser autèntiques i que poden arribar per diversos canals.
"El veritable risc rau en els detalls de les reserves. Aquesta informació permet als atacants crear missatges molt convincents, ja sigui a través de WhatsApp, correu electrònic o una trucada telefònica que sembli totalment legítima. El que fa que això sigui encara més perillós és com d'habituals són ja aquest tipus d'interaccions" - Gonzalo Gabriel y Galán, Integrity360
Aquest escenari obre la porta a campanyes d'enginyeria social especialment creïbles, en què l'usuari pot rebre un missatge relacionat amb una estada, una modificació de la reserva o una suposada incidència amb l'allotjament i acabar facilitant més dades personals.
Una cadena d'incidents en el sector hoteler
L'atac a Booking es produeix en un context d'incidents recents en la indústria turística i hotelera. El 2025, la plataforma Otelier va patir la filtració de més de 437.000 registres d'hostes, amb dades de clients de Marriott, Hilton i Hyatt.
Un any abans, el 2024, un ciberatac contra Omni Hotels & Resorts va afectar les seves reserves en línia, al processament de pagaments i als sistemes de claus digitals. I el 2023, MGM Resorts va patir un atac d'enginyeria social que va provocar pèrdues superiors a 100 milions de dòlars.
"Va prendre la precipitada decisió de tancar tots i cadascun dels servidors Okta Sync després d'assabentar-se que havíem estat aguaitant i rastrejant contrasenyes" - Atacants de MGM Resorts
La successió de casos reflecteix la pressió creixent sobre les plataformes de reserves i les cadenes hoteleres, on les dades operatives i la informació de clients s'han convertit en un objectiu prioritari per als ciberdelinqüents. En el cas de Booking, la companyia manté que la investigació continua oberta per aclarir l'abast de l'accés no autoritzat i el volum d'usuaris afectats.