Reservaron hotel y recibieron phishing: datos de millones de viajeros de Booking Holdings se venden en la darkne
Expertos confirman la autenticidad de las muestras de datos.
Un gran servicio turístico fue víctima de un ciberataque, y en esta ocasión se trata de decenas de millones de registros con datos personales. En un foro de hackers pusieron a la venta una base que atribuyen al servicio Agoda. El vendedor afirma haber obtenido acceso a 82 millones de registros.
La situación resulta especialmente alarmante, porque hace apenas una semana la empresa matriz Booking Holdings ya reconoció una filtración en su marca clave Booking.com. Entonces los atacantes obtuvieron acceso a los datos de clientes, incluidos nombres, correo electrónico, teléfonos y detalles de reservas. Tras el incidente aumentó bruscamente el número de ataques de phishing.
Ahora bajo ataque está otro servicio del mismo grupo. Los especialistas analizaron muestras de la base publicadas en el foro y determinaron que los datos parecen auténticos. En ellas encontraron nombres de usuario, números de documento de identidad de ciudadanos de Malasia, direcciones de correo electrónico, teléfonos e información sobre hoteles.
No se pudo confirmar el volumen declarado de 82 millones de registros. En el acceso público solo había 23 filas. En las muestras no hay fechas de estancia, aunque esa información suele incluirse en los registros de reservas. Esa laguna plantea preguntas.
Agoda forma parte de Booking Holdings, uno de los mayores actores en el mercado de viajes en línea. En el portafolio de la compañía también están los servicios Priceline, Kayak y OpenTable. En un año la plataforma gestiona más de mil millones de reservas.
Aún no se ha confirmado una conexión directa entre las dos filtraciones, pero coinciden en el tiempo, lo que resulta sospechoso. Surge la pregunta: ¿se trata de una casualidad o de un problema en la infraestructura de todo el grupo? Una preocupación especial es la filtración de los números de documento de identidad. En Malasia esos datos sirven de facto como identificador permanente de una persona. A diferencia de una contraseña o de una tarjeta bancaria, el número no se puede simplemente cambiar.
El país ya se ha enfrentado varias veces a filtraciones masivas. En 2017 los datos de 46 millones de abonados de telefonía móvil quedaron disponibles públicamente. En 2024 en mercados clandestinos se vendieron 17 millones de registros de identificaciones nacionales MyKad.