Si has reservado un hotel, imagina que te llega un mensaje con tus fechas y el nombre del alojamiento. Parece real, suena urgente y te pide que “verifiques” un pago. ¿Qué harías?
En la semana del 13 de abril de 2026, Booking.com avisó de un acceso no autorizado a información vinculada a algunas reservas y dijo que ya había tomado medidas. Courtney Camp, portavoz, explicó que detectaron “actividad sospechosa” y que actualizaron el PIN de esas reservas. La empresa no ha detallado cuántas personas están afectadas, pero reconoce que estos datos pueden usarse para intentos de estafa.
Qué datos se han visto expuestos
En avisos enviados a clientes, la empresa advierte de que atacantes pudieron acceder a información asociada a una reserva. En esos mensajes se mencionan datos como nombre, correo electrónico, teléfono, detalles de la reserva y lo que el viajero hubiera compartido con el alojamiento en la conversación.
Esto encaja con lo que suele llamarse brecha de datos, cuando alguien entra donde no debe y consulta información personal. No siempre significa que te hayan robado la cuenta, pero sí que alguien puede saber demasiado sobre tu viaje.
Y ese “demasiado” importa. Con detalles reales, un estafador puede escribirte haciéndose pasar por el alojamiento y sonar convincente a la primera, justo cuando tú solo quieres que el viaje salga bien.
Qué dice Booking.com
La compañía afirma que detectó “actividad sospechosa” y que actuó para contenerla. También señala que actualizó el PIN de las reservas afectadas, un código que acompaña a la reserva y sirve para identificarla cuando pides ayuda o haces gestiones.
Booking.com añade que no se accedió a información financiera o de pago y que las cuentas de usuario no se vieron comprometidas. En el mismo aviso insiste en algo sencillo, sus equipos no piden datos sensibles por email, por llamada, por WhatsApp o por SMS.
Aun así, queda una incógnita importante, el alcance exacto del acceso no se ha hecho público. En ciberseguridad esto pasa a menudo, pero obliga a los viajeros a estar más atentos.
Por qué es un riesgo real para viajeros
La mayoría de estafas online no empieza con un virus, sino con un mensaje. El phishing es un engaño diseñado para que entregues datos o hagas un pago, normalmente con prisas y con frases del tipo “si no respondes, pierdes la reserva”.
Cuando el atacante tiene datos reales, el truco cambia de nivel. Ya no es un correo mal escrito, es un texto que menciona tu alojamiento, tus fechas y hasta partes de una conversación anterior.
Por eso el problema no es solo “qué se vio”, sino “qué se puede intentar después”. Un WhatsApp con información correcta puede empujarte a pagar fuera de la plataforma, y ahí es cuando suele llegar el golpe.
Quién está detrás de la plataforma
Booking.com funciona como intermediario, pone la plataforma para buscar y reservar, pero el alojamiento es un proveedor aparte. La propia empresa explica que Booking.com B.V. está registrada en Ámsterdam y que, por lo general, el contrato de la estancia lo cierras con el proveedor.
Detrás de la marca está Booking Holdings, un grupo estadounidense con otras marcas de viajes online como Priceline, Agoda, KAYAK y OpenTable. En su información corporativa, el grupo dice operar en más de 220 países y territorios.
Ese tamaño tiene un efecto secundario claro, cualquier fallo se amplifica. Es como una autopista, cuando hay un atasco, afecta a mucha gente a la vez.
El precedente de 2018 y la multa en Países Bajos
No es la primera vez que Booking.com se ve arrastrada por un incidente de este tipo. En diciembre de 2018, una estafa telefónica contra 40 hoteles en Emiratos Árabes Unidos consiguió credenciales de empleados y dio acceso a datos de 4.109 clientes, según el Comité Europeo de Protección de Datos.
En aquel caso también se pudo acceder a información de tarjetas de 283 personas y, en 97, al código de seguridad. El mismo organismo explica que Booking.com conoció la brecha el 13 de enero de 2019, avisó a clientes el 4 de febrero y notificó al regulador neerlandés el 7 de febrero, 22 días tarde, lo que acabó en una multa de 475.000 euros.
El recordatorio es incómodo, pero útil. En Europa, las empresas tienen plazos cortos para comunicar brechas graves, y los viajeros suelen enterarse cuando el daño ya puede estar en marcha.
Qué puedes hacer si te llega un mensaje raro
Lo primero es bajar la velocidad. Si un mensaje inesperado te pide dinero o te manda a un enlace “para verificar”, entra tú por tu cuenta en la app o en la web y comprueba si hay algo pendiente.
También ayuda recordar una regla simple, las prisas son parte del truco. Si el tono es amenazante o te da un plazo de horas, intenta confirmar por un canal oficial antes de tocar nada.
Y si crees que ya has compartido datos o pagado donde no tocaba, actúa rápido. Booking.com indica en sus condiciones que revises las políticas de pago por adelantado durante la reserva y que, si sospechas fraude o un uso no autorizado de tu método de pago, contactes cuanto antes con tu proveedor de pago.
La comunicación oficial se ha publicado en Booking.com.
