Booking sufre el robo de datos personales de sus clientes tras un ciberataque

La plataforma Booking ha notificado a sus usuarios el robo de información personal en relación a sus reservas tras sufrir un ciberataque por parte de «terceros no autorizados». «Recientemente detectamos actividad sospechosa que implicaba que terceros no autorizados pudieran acceder a cierta información de reservas de algunos clientes», ha explicado la plataforma de alojamiento en un comunicado.

Los datos expuestos pueden incluir detalles de la reserva y nombres, correos electrónicos, direcciones, números de teléfono asociados a la reserva y cualquier dato compartido con el alojamiento. No obstante, no se accedió a información financiera desde sus sistemas, según ha asegurado a EP.

Tras descubrir esta actividad y como medida preventiva, Booking ha actualizado el número PIN de esas reservas y ha informado a sus clientes.

Ante esta situación, la compañía con sede en Ámsterdam (Países Bajos) recomienda a sus clientes mantenerse alerta ante posibles ataques de ‘phishing’.

«Booking.com nunca solicitará a los clientes que compartan datos de tarjetas de crédito por correo electrónico, teléfono, WhatsApp o mensaje de texto, ni que realicen transferencias bancarias que difieran de la política de pago indicada en la confirmación de la reserva», ha añadido al respecto.

Basic Fit

El caso de Booking se suma al de la cadena de gimnasios Basic-Fit, que también ha alertado este lunes de que ha sufrido un acceso no autorizado al sistema que registra las visitas de los socios a los clubes de la empresa, hecho que ha tenido lugar el pasado 8 de abril.

Basic-Fit ha informado de que el acceso no autorizado ha sido bloqueado en cuestión de minutos tras su detección, si bien se han descargado algunos datos de socios. Pese a que la compañía ha indicado que no es necesario que los clientes hayan tomado ninguna medida inmediata, les ha aconsejado mantenerse alerta ante posibles intentos de ‘phishing’.

Para responder a las preguntas de los usuarios afectados, el gimnasio ha habilitado una sección de preguntas y respuestas y ha animado a contactar con el equipo de atención al cliente a través de la aplicación de Basic-Fit o por correo electrónico en caso de persistir dudas.

Los datos involucrados han incluido la dirección de correo electrónico, el nombre y los apellidos, la dirección y la ciudad, el número de teléfono, el número y titular de la cuenta bancaria, la fecha de nacimiento y la información sobre la membresía.

En lo relativo a la información sobre la membresía afectada, Basic-Fit ha detallado que se trata de datos internos de gestión y administración, como el tipo de membresía, el saldo de pagos, el número de pase, un identificador interno, los horarios y clubes de visitas recientes durante la última semana, así como la descripción del dispositivo móvil (por ejemplo, iPhone, Samsung o el nombre elegido por el usuario).

La compañía ha afirmado que el incidente ha sido reportado a la autoridad de protección de datos de los Países Bajos y que, según la información disponible, los datos afectados no se han encontrado visibles ni disponibles en ningún sitio. Asimismo, ha explicado que, junto con especialistas externos, ha supervisado de forma constante si la información descargada pudiera haberse hecho pública.

Basic-Fit ha insistido en que los socios no han necesitado realizar ninguna acción específica, aunque ha recomendado estar atentos ante posibles situaciones sospechosas.

También ha advertido de que los datos descargados podrían haberse utilizado de forma indebida mediante correos falsos (‘phishing’) y ha recordado que nunca se deben facilitar contraseñas ni información sensible a través de mensajes o llamadas.