A la fiebre por las entradas de Bad Bunny en Madrid se le ha sumado un nuevo problema: que tu viaje soñado acabe siendo un timo por culpa del último ciberataque a Booking. Estos días han sido muchos los usuarios en redes sociales que han hecho público que han reservado hotel o apartamento y ahora temen encontrarse, al llegar a la capital, con que esa habitación ya estaba ocupada o nunca existió.
En abril, Booking reconoció haber sufrido un ciberataque que permitió a terceros no autorizados acceder a datos vinculados a reservas de algunos clientes. La propia plataforma ha admitido que los atacantes pudieron ver nombres, correos electrónicos, teléfonos y detalles de las reservas (fechas, alojamientos, mensajes intercambiados), aunque insiste en que no se han filtrado datos financieros como números de tarjeta.
Con esa información en la mano, los ciberdelincuentes han empezado a lanzar ataques de phishing muy afinados: correos, mensajes y WhatsApps que incluyen datos reales de la reserva y que se hacen pasar por el hotel o por Booking para pedir pagos extra, confirmar supuestos cambios o redirigir al usuario a webs falsas. El Instituto Nacional de Ciberseguridad (INCIBE) y la propia compañía alertan de que estos intentos de fraude pueden ir a más en fechas de alta demanda.
Por qué afecta especialmente a quienes vienen a ver a Bad Bunny
Los diez conciertos del puertorriqueño en el Riyadh Air Metropolitano van a movilizar a alrededor de medio millón de personas entre el 30 de mayo y el 15 de junio, muchas llegadas desde fuera de Madrid que necesitan hotel o apartamento para una o varias noches. Ese contexto es perfecto para los estafadores: alta saturación de alojamientos, reservas hechas con mucha antelación, precios disparados en las fechas clave y fans dispuestos a buscar “chollos” de última hora o a aceptar cambios sin hacer demasiadas preguntas con tal de no perder el viaje.
A esto se suma un problema de base que expertos en ciberseguridad llevan años señalando, y es que Booking permite la afiliación de alojamientos con controles que no siempre detectan a tiempo anuncios falsos o cuentas de establecimientos hackeadas, lo que abre la puerta a que se publiquen pisos y hoteles que en realidad no existen o que ya están reservados por otros huéspedes. El resultado es el escenario que muchos temen y algunos ya relatan: llegar a Madrid, enseñar tu confirmación… y descubrir que ese alojamiento está ocupado, no reconoce tu reserva o ni siquiera figura en el portal porque la cuenta ha sido desactivada tras el fraude.
Cómo se están produciendo las estafas
Los patrones que describen los organismos de ciberseguridad y los propios afectados se repiten.
Algunos ejemplos:
- Mensajes que llegan por correo, WhatsApp o SMS citando tu nombre, fechas exactas y el hotel reservado, avisando de un problema urgente: “error en el pago”, “overbooking”, “necesidad de verificar tu tarjeta por el evento de Bad Bunny”, etc.
- Enlaces que parecen de Booking o del alojamiento, pero que en realidad llevan a formularios falsos donde se piden de nuevo los datos de la tarjeta o se solicita una transferencia “para asegurar la reserva en días de alta demanda”.
- Supuestos “cambios de última hora” ofrecidos por el propio alojamiento, que te piden cancelar y pagar de nuevo por fuera de la plataforma, algo que abre la puerta a duplicar cobros o a quedarse sin habitación y sin dinero.
El problema es que, como los atacantes cuentan con datos reales de la reserva, sus mensajes parecen mucho más creíbles que un phishing genérico. De ahí que tanto Booking como los expertos insistan en una idea clave: la plataforma nunca te pedirá los datos de tu tarjeta ni te solicitará pagos adicionales por canales externos (correo, WhatsApp, llamadas) distintos de su app o web oficial.
Qué recomienda el INCIBE
Tanto la plataforma como organismos como INCIBE y las fuerzas de seguridad han difundido una serie de pautas claras.
Entre ellas:
- No compartir nunca datos de tarjeta por correo, teléfono, WhatsApp o redes sociales, aunque el mensaje incluya detalles reales de tu reserva.
- Acceder siempre a tu reserva escribiendo la dirección de Booking en el navegador o desde la app, no desde enlaces que te lleguen en mensajes.
- Verificar cualquier cambio directamente con el alojamiento usando datos de contacto oficiales (su web, teléfono verificado, etc.), y no aceptar presiones para pagar “ya mismo”.
- Si sospechas que has introducido datos en una web falsa, contactar inmediatamente con tu banco para bloquear la tarjeta y presentar denuncia ante la Policía.
Booking, por su parte, ha forzado el reseteo de los PIN de las reservas afectadas y asegura estar reforzando sus sistemas, aunque no ha detallado cuántos usuarios españoles están implicados.
