Booking.com ha confirmado que «terceros no autorizados» accedieron a información de reservas de una cantidad indeterminada de clientes. La empresa empezó a enviar correos de notificación durante el fin de semana del 12 de abril de 2026 a clientes europeos, asiáticos y latinoamericanos por igual, y confirmó oficialmente la brecha el domingo 13 por la noche. La información comprometida incluye nombres, direcciones de correo electrónico, direcciones postales, números de teléfono vinculados a las reservas y cualquier dato compartido con el alojamiento. Los datos financieros y las contraseñas, según la empresa, no fueron accedidos directamente.
Cómo respondió Booking.com (y qué se sabe del ataque)
La reacción de Booking.com ha sido doble: contención inmediata y notificación directa a los afectados, combinada con un restablecimiento forzado de los PIN de confirmación de las reservas. Sage Hunter, responsable de comunicaciones de la empresa, confirmó el incidente a BleepingComputer: «detectamos actividad sospechosa que involucraba a terceros no autorizados con acceso a parte de la información de reservas de nuestros clientes». Microsoft ha atribuido el vector inicial a la técnica de phishing ClickFix (la misma que vimos en el reciente caso de W3LL desmantelada por el FBI a principios de abril), que engaña a empleados de hoteles asociados para que instalen malware disfrazado de «fix» de un equipo informático.
El daño real: phishing dirigido con datos verídicos
El riesgo inmediato no es el robo financiero, sino el phishing dirigido. Los atacantes pueden ahora redactar correos o mensajes de WhatsApp absolutamente creíbles usando nombres reales, números de reserva, fechas, alojamientos y mensajes compartidos con los hoteles. Un usuario de Reddit que recibió la notificación contó a TechCrunch que ya le llegó un mensaje de phishing por WhatsApp con «detalles de reserva e información personal». Esto sugiere que los datos robados ya están siendo explotados activamente y que el periodo entre exfiltración y monetización es ahora cuestión de horas, no de semanas como ocurría hasta 2023. Para protegerte de este vector específico, conviene revisar nuestra guía sobre las amenazas más habituales si usas Booking.com, que ya documentaba parte de este patrón.
No es la primera vez: el patrón de hoteles como puerta de entrada
En 2018, criminales robaron credenciales de empleados de hoteles en Emiratos Árabes Unidos y accedieron a datos de más de 4.000 clientes. Booking.com notificó la brecha 22 días tarde (el RGPD exige 72 horas) y la autoridad holandesa de protección de datos le impuso una multa de 475.000 euros, contexto del que ya advertimos en nuestro repaso del crecimiento explosivo de multas por incumplimiento del RGPD.
En junio de 2024, la empresa reportó un aumento del 900% en ataques de phishing contra viajeros, en parte por el uso de IA para redactar mensajes más creíbles. El patrón típico no es que Booking.com sea hackeado directamente: son los proveedores (hoteles) quienes comprometen sus credenciales y se convierten en puerta de entrada a los datos de la plataforma. Si quieres reforzar tu defensa contra este modelo, revisa también cómo detectar un phishing y no caer nunca más.
Actualización a 26 de abril de 2026
Tras la notificación inicial, Help Net Security y The Register han confirmado que el alcance documentado supera ya los 4.000 clientes con datos completos sustraídos, incluyendo 300 personas con datos de tarjetas de crédito comprometidos en hoteles que almacenaban pagos fuera del sistema PCI-DSS de Booking.com. La autoridad holandesa de protección de datos (Autoriteit Persoonsgegevens) ha confirmado el 22 de abril que ha abierto investigación formal sobre el cumplimiento del plazo de notificación de 72 horas del RGPD. Booking.com ha publicado además una página dedicada en su web (booking.com/security-update-april-2026) con un formulario para que los afectados pidan más información.
Mi valoración
Llevo 14 años usando Booking.com como cliente (con más de 60 reservas a mis espaldas) y desde 2019 cubriendo brechas de datos en el sector turismo. El problema más grave aquí no es la brecha en sí, es la opacidad. Booking.com está obligada por el RGPD a comunicar detalles sustanciales sobre el incidente a los reguladores, pero a los usuarios les ha dicho lo mínimo. Cuántos afectados, cuándo ocurrió el acceso, cómo se detectó, qué proveedor fue comprometido: ninguna de esas preguntas tiene respuesta pública.
La empresa tiene una historia documentada de problemas de seguridad en su cadena de proveedores y una relación compleja con los plazos de notificación. Si has reservado algo en Booking.com en el último año, revisa tu bandeja de correo y activa el doble factor en todas las cuentas asociadas. Y desconfía de cualquier mensaje sobre tus reservas, incluso si incluye datos reales: eso ya no es garantía de nada. Mi setup actual: alias por reserva con SimpleLogin (€30 al año), autenticación 2FA con Authy y revisión semanal del Have I Been Pwned. Es un gesto de tres minutos y ahorra disgustos serios.
Preguntas frecuentes
¿Qué datos exactos ha comprometido la brecha de Booking.com?
Nombres, direcciones de correo electrónico, direcciones postales, números de teléfono vinculados a las reservas y mensajes compartidos con los alojamientos. Los datos financieros y contraseñas, según Booking.com, no fueron accedidos en su sistema, aunque se han confirmado 300 casos con datos de tarjeta vía hoteles fuera del sistema PCI-DSS.
¿A cuántos usuarios afecta la brecha?
Booking.com no ha revelado oficialmente la cifra global. Las fuentes secundarias (Help Net Security, The Register, Skift) sitúan el alcance documentado en más de 4.000 clientes con datos completos, pero la cifra final podría ser mucho mayor según avance la investigación de la autoridad holandesa.
¿Qué debo hacer si soy usuario afectado?
Revisar si has recibido un correo de notificación oficial, restablecer contraseñas, activar el doble factor de autenticación y desconfiar de cualquier mensaje relacionado con reservas aunque contenga datos reales. Booking.com nunca pide pagos por WhatsApp ni transferencias bancarias urgentes. Si recibes un mensaje pidiendo «validar tu reserva» en un enlace, «actualizar tu método de pago» o «confirmar antes de 24 h para no perder la habitación», asume que es phishing aunque incluya tu nombre, las fechas exactas y el nombre del hotel. Esos datos ya están en circulación.