Booking.com ha sido multada con 475.000 euros tras no informar de una grave violación de datos en el plazo establecido por el Reglamento General de Protección de Datos (RGPD).

Booking.com sufrió la filtración en 2018, cuando estafadores telefónicos atacaron a 40 empleados de varios hoteles en los Emiratos Árabes Unidos (EAU).

Tras obtener sus credenciales de acceso a un sistema de Booking.com, pudieron acceder a los datos personales de más de 4.100 clientes que habían reservado una habitación de hotel en los EAU a través de la OTA.

También se expusieron los datos de las tarjetas de crédito de 283 clientes, y en 97 casos se comprometió el código de seguridad (CVV).

«Aunque los delincuentes no robaron los datos de la tarjeta de crédito, sino sólo el nombre, los datos de contacto y la información sobre su reserva de hotel, sí utilizaron esos datos para hacer phishing», explica Monique Verdier, vicepresidenta de la Autoridad Holandesa de Protección de Datos.

«Fingiendo pertenecer al hotel por teléfono o por correo electrónico, intentaban sacar dinero a la gente. Esta estrategia puede ser muy creíble si dicho estafador sabe exactamente cuándo has reservado qué habitación, y te pregunta si quieres pagar por esas noches. El daño puede ser considerable».

Aunque la infracción no parece haber sido culpa de Booking.com, su respuesta ha sido insuficiente.

El gigante de los viajes, con sede en los Países Bajos, fue notificado del incidente el 13 de enero de 2019, pero no lo comunicó a las autoridades hasta el 7 de febrero, 22 días después. El GDPR ordena normas estrictas para informar dentro de las 72 horas.

Verdier argumenta que se trata de una grave violación de la confianza que millones de clientes depositan en la plataforma para mantener sus datos seguros. Las obligaciones de las empresas online no se limitan a los controles de ciberseguridad de las mejores prácticas, sino también a reaccionar rápidamente si las cosas van mal.

«Una filtración de datos puede ocurrir, por desgracia, en cualquier lugar, incluso si se han tomado buenas precauciones, pero para evitar el daño a sus clientes y la repetición de esa filtración de datos, hay que informar a tiempo», dijo Verdier.

«Esa rapidez es muy importante: en primer lugar para las víctimas de una filtración. Después de esa denuncia, las autoridades pueden, entre otras cosas, ordenar a la empresa que avise inmediatamente a los clientes afectados para evitar que los delincuentes tengan semanas para seguir intentando estafar a los clientes, por ejemplo».

Booking.com no impugnará la multa, según las autoridades holandesas.

Noticia original publicada en Infosecurity.


O recibe nuestro boletín en un mensaje diario de WhatsApp. Añade a tus contactos el número +34646572336 y envía un whatsapp con la palabra ALTA.

También puedes escuchar nuestro podcast diario en SoundCloud, IVOOX, Spotify, Apple Podcasts y Google Podcasts.

Smart Travel News utiliza el banco de imágenes de Freepik.