Hay un viejo adagio en la industria de la hospitalidad que dice que el cliente siempre tiene la razón. Sin embargo, para la agencia de viajes por internet Booking.com, el adagio parece haberse transformado en un cínico “el cliente siempre es el blanco”.
Una experiencia fraudulenta
La semana pasada decidí comprar unas noches de hotel para mis próximas vacaciones y todo resultó ser un fraude y una mala experiencia, en el que la empresa no se hace responsable del cliente, no resuelve las denuncias de que usan su infraestructura para robar datos, tratar de hacer cobros ilegales mandando mensajes desde su chat, y hasta el uso del correo de la compañía por parte de delincuentes en la red para hacer phishing.
Luego de hacer mi reservación, comenzaron a llegarme mensajes a través de la misma aplicación de que tenía que pagar inmediatamente los días reservados por temas de promoción, cuando se decía en el sitio que se pagaba al llegar al hotel. Además, usando la misma aplicación y el correo electrónico de Booking.com, presionaban para que diera los datos de mi tarjeta y datos personales para que todo quedara en orden. Por supuesto que esa insistencia me alertó, además de que el banco que usé para la transacción bloqueó pagos que iban a destinos tan raros para pagar las noches de hotel como Ikea, y otras tiendas desconocidas. Inmediatamente bloqueé la tarjeta, llamé a Booking.com y escribí correos a su sede y la respuesta fue decir: lo analizamos.
El ciberataque oculto
Luego de hacer una búsqueda en internet, inclusive luego que vi en mi propio correo un comunicado de prensa de Kaspersky Labs, supe que Booking.com había sido vulnerada, cibernéticamente hablando, y que había miles de fraudes reportados por clientes. La empresa no anunció nada, escondió el hackeo y sólo cancelaba las reservas y dejaba sin respuesta a miles de clientes molestos en el mundo, algunos ya defraudados con el uso de sus tarjetas.
El hackeo fue hace un par de semanas y no es un simple “incidente técnico” ni un error fortuito del destino, es la confirmación de una vulnerabilidad sistémica que la empresa ha permitido que se pudra en el corazón de su modelo de negocio. La noticia de que actores malintencionados lograron vulnerar la infraestructura de la plataforma para acceder a datos sensibles de reservaciones –nombres, correos, teléfonos y detalles precisos de viajes– es alarmante. Pero lo que resulta verdaderamente imperdonable, y raya en la complicidad por omisión, es el uso de la propia herramienta de comunicación de Booking.com para perpetrar las estafas.
El modus operandi
Estamos ante una distopía de la ciberseguridad: el usuario recibe un mensaje a través del chat oficial del sitio web o la aplicación. El mensaje proviene de la cuenta real del hotel que reservó. El estafador conoce las fechas, el precio y el número de confirmación. Con una urgencia prefabricada, solicita un pago adicional o una “verificación de tarjeta” externa para evitar la cancelación. ¿Cómo culpar al viajero que confía en el entorno seguro que la empresa le prometió?
El problema de fondo es que Booking.com ha construido un ecosistema donde la responsabilidad se diluye. Al permitir que sus “socios colaboradores” (hoteles y alojamientos) sean el eslabón débil a través de técnicas de phishing como el ya famoso ClickFix, la empresa se lava las manos.
Responsabilidad diluida
Escuché a algunos clientes que les comentaron que los sistemas centrales de Booking.com no fueron hackeados directamente, sino que fueron las cuentas de los hoteles. Es una distinción técnica que, para la víctima que acaba de perder miles de euros, pesos o dólares, no tiene ningún valor. Si tu plataforma permite que un tercero use sus canales oficiales para robar, el problema es tu plataforma. No se puede presumir de ser el líder mundial mientras se mantiene una puerta trasera abierta para que el malware XWorm o VenomRAT se pasee por los historiales de los clientes.
Mientras los usuarios denuncian una oleada de mensajes fraudulentos por WhatsApp y chats internos, la respuesta de la compañía ha sido, en el mejor de los casos, tibia. Correos electrónicos enviados días después del desastre y el cambio de PIN de reserva no son medidas robustas de seguridad; son tiritas de papel para una hemorragia arterial. La empresa parece más preocupada por proteger su reputación de marca que por proteger el bolsillo de sus usuarios. No hay un sistema de bloqueo preventivo de enlaces externos en el chat, no hay una verificación de identidad de doble factor obligatoria para todos sus socios globales, y no hay una política de reembolso claro para quienes han sido estafados dentro de su propio “entorno seguro”.
Recomendación final
Mi recomendación es: no se les ocurra usar Booking.com para comprar cualquier tema de reservación, o serán defraudados y la empresa se lavará las manos.
