Booking ha confirmado el robo de información personal de algunos clientes tras detectar un ciberataque que habría permitido a terceros no autorizados acceder a datos vinculados a reservas. La compañía sostiene que, por el momento, no se ha registrado acceso a información financiera desde los sistemas de Booking.com.
La empresa ha explicado que detectó actividad sospechosa relacionada con un posible acceso indebido a determinada información de reservas de parte de sus usuarios. El alcance exacto de la incidencia no se ha detallado, aunque sí se ha confirmado que afecta a datos personales de algunos clientes.
"Recientemente detectamos actividad sospechosa que implicaba que terceros no autorizados pudieran acceder a cierta información de reservas de algunos clientes" - Booking
El riesgo se concentra en el uso fraudulento de los datos de reserva
Más allá de un posible robo de datos bancarios, los especialistas en ciberseguridad advierten de que este tipo de brechas puede facilitar fraudes muy dirigidos. La información asociada a una reserva permite construir comunicaciones que aparentan ser auténticas y que pueden llegar por varios canales.
"El verdadero riesgo reside en los detalles de las reservas. Esa información permite a los atacantes crear mensajes muy convincentes, ya sea a través de WhatsApp, correo electrónico o una llamada telefónica que parezca totalmente legítima. Lo que hace que esto sea aún más peligroso es lo habituales que son ya este tipo de interacciones" - Gonzalo Gabriel y Galán, Integrity360
Ese escenario abre la puerta a campañas de ingeniería social especialmente creíbles, en las que el usuario puede recibir un mensaje relacionado con una estancia, una modificación de la reserva o una supuesta incidencia con el alojamiento y acabar facilitando más datos personales.
Una cadena de incidentes en el sector hotelero
El ataque a Booking se produce en un contexto de incidentes recientes en la industria turística y hotelera. En 2025, la plataforma Otelier sufrió la filtración de más de 437.000 registros de huéspedes, con datos de clientes de Marriott, Hilton y Hyatt.
Un año antes, en 2024, un ciberataque contra Omni Hotels & Resorts afectó a sus reservas online, al procesamiento de pagos y a los sistemas de llaves digitales. Y en 2023, MGM Resorts sufrió un ataque de ingeniería social que provocó pérdidas superiores a 100 millones de dólares.
"Tomó la apresurada de cisión de cerrar todos y cada uno de los servidores Okta Sync después de enterarse de que habíamos estado acechando y rastreando contraseñas" - Atacantes de MGM Resorts
La sucesión de casos refleja la presión creciente sobre las plataformas de reservas y las cadenas hoteleras, donde los datos operativos y la información de clientes se han convertido en un objetivo prioritario para los ciberdelincuentes. En el caso de Booking, la compañía mantiene que la investigación sigue abierta para aclarar el alcance del acceso no autorizado y el volumen de usuarios afectados.