Booking.com presuntamente pirateado por la agencia de inteligencia de EE. UU., pero nunca se lo dijo a los clientes

Booking.com presuntamente pirateado por la agencia de inteligencia de EE. UU., pero nunca se lo dijo a los clientes

Booking.com presuntamente pirateado por la agencia de inteligencia de EE. UU., pero nunca se lo dijo a los clientes

Un pirata informático que trabajaba para una agencia de inteligencia de EE. UU. pirateó los servidores de Booking.com en 2016 y robó datos de usuarios relacionados con el Medio Oriente, según un libro publicado el jueves. El libro también dice que la compañía de viajes en línea optó por mantener el incidente en secreto.

Booking.com, con sede en Ámsterdam, tomó la decisión después de llamar al servicio de inteligencia holandés, conocido como AIVD, para investigar la violación de datos. Siguiendo el consejo de un asesor legal, la empresa no informó a los clientes afectados ni a la Autoridad holandesa de protección de datos con el argumento de que Booking.com no estaba legalmente obligado a hacerlo porque no se consultó información financiera o confidencial.

Los informáticos que trabajan para Booking.com contaron una historia diferente, según el libro. Desde Máquina: In de ban de Booking.com (Traducción en inglés: La Machine: bajo el hechizo de Booking.com). Los autores del libro, tres periodistas del periódico nacional holandés NRC, informan que el nombre interno de la violación fue «fuga de código PIN», porque la violación involucró códigos PIN robados en reservas.

El libro también dice que la persona detrás del hackeo accedió a miles de reservas de hotel en países de Medio Oriente, incluidos Arabia Saudita, Qatar y los Emiratos Árabes Unidos. Los datos filtrados estaban relacionados con los nombres de los clientes de Booking.com y sus planes de viaje.

Publicidad

Dos meses después de la violación, los investigadores privados estadounidenses ayudaron al departamento de seguridad de Booking.com a determinar que el pirata informático era un estadounidense que trabajaba para una empresa que realizaba misiones de inteligencia estadounidenses. Los perpetradores nunca determinaron qué agencia estaba detrás de la intrusión.

Los datos relacionados con hoteles y viajes han sido durante mucho tiempo un bien de moda para los piratas informáticos que trabajan para los estados nacionales. En 2013, un denunciante de la NSA expuso «Royal Concierge», un programa de espionaje del GCHQ del Reino Unido que rastreaba las reservas en 350 hoteles de alta gama en todo el mundo. Los espías usaron los datos para identificar el hotel donde se hospedaban los objetivos de interés para que los agentes de campo pudieran colocar micrófonos ocultos en sus habitaciones.

En 2014, Kaspersky Labs presentó Dark Hotel, una campaña de un año de duración que utilizó las redes Wi-Fi de los hoteles para infectar los dispositivos de los huéspedes en un esfuerzo por obtener acceso a información confidencial de la empresa. Las personas detrás de Dark Hotel, que presumiblemente trabajan en nombre de un estado-nación, han mostrado un interés particular en los encargados de formular políticas y los ejecutivos globales.

Por su parte, Booking.com dijo que no tenía la obligación legal de revelar la infracción. En un comunicado, los funcionarios de la compañía escribieron:

Con el apoyo de expertos externos en la materia y de acuerdo con el marco establecido por la ley holandesa de protección de datos (la normativa aplicable anterior al RGPD), confirmamos que no se accedió a información confidencial o financiera. Los líderes en ese momento estaban trabajando para seguir los principios de la DDPA, que guiaba a las empresas a tomar medidas de notificación adicionales solo si había efectos adversos reales en la privacidad de las personas, para los cuales no se ha detectado evidencia.

Publicación actualizada para agregar un comentario de Booking.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada.