BOOKING.COM VULNERA EL RGDP TRAS UNA FILTRACIÓN QUE FACILITA ESTAFAS DE «SECUESTRO DE RESERVAS»

Booking.com vulnera el RGPD tras una filtración que facilita estafas de «secuestro de reservas». La pérdida de control de datos expone a la empresa a sanciones y demandas de los usuarios afectados.

El incidente de seguridad confirmado por Booking.com el 13 de abril de 2026 representa un caso de estudio crítico sobre la responsabilidad civil y administrativa en la custodia de datos masivos. 

La brecha ha expuesto información sensible que incluye nombres, correos electrónicos, números de teléfono y detalles pormenorizados de reservas, lo que ha facilitado una oleada de ataques de «secuestro de reservas» o «booking hijacking». 

Jurídicamente, la gravedad reside en que los atacantes utilizan la propia infraestructura de mensajería de la plataforma para contactar a las víctimas, dotando al fraude de una apariencia de legalidad que dificulta la defensa del consumidor y eleva el estándar de diligencia exigible a la empresa proveedora del servicio.

La fundamentación jurídica de este caso se apoya en los principios de integridad y confidencialidad recogidos en el Reglamento General de Protección de Datos, los cuales se ven claramente vulnerados cuando se produce una pérdida efectiva de control sobre la información por la intervención de terceros. 

Tal como advierte la Agencia Española de Protección de Datos en sus recientes guías, este tipo de filtraciones genera riesgos «invisibles» de alto impacto, ya que los datos robados permiten a los ciberdelincuentes crear perfiles de comportamiento y debilidades de los usuarios, facilitando estafas personalizadas mediante técnicas de ingeniería social. 

El daño no es meramente patrimonial por los pagos fraudulentos realizados, sino que se extiende a una vulneración persistente de la privacidad que, una vez iniciada, es extremadamente compleja de revertir debido a la persistencia de la información en el entorno digital.

En cuanto a la respuesta de Booking.com, la compañía ha activado sus protocolos de crisis procediendo a la notificación preceptiva a las autoridades de control y a los usuarios identificados como afectados por la intrusión. 

La defensa de la plataforma se ha centrado en recomendar a los clientes el cese de cualquier comunicación que solicite pagos fuera de su pasarela oficial y en la puesta en marcha de una auditoría técnica para blindar sus sistemas contra futuras brechas. 

No obstante, desde un punto de vista jurídico-técnico, la empresa deberá ahora demostrar que contaba con las medidas organizativas adecuadas para prevenir el acceso no autorizado, enfrentándose a posibles reclamaciones por daños y perjuicios y a sanciones administrativas si se demuestra que los protocolos de seguridad eran insuficientes ante el estado actual de la tecnología.