En una advertencia crucial, las autoridades de ciberseguridad han detectado un aumento en la actividad fraudulenta que imita a reconocidas plataformas de reserva de alojamiento. Este engaño, que ha cobrado fuerza durante el período estival, se centra en la sustracción de información de clientes de establecimientos hoteleros, para posteriormente dirigirse a ellos con comunicaciones engañosas. La estratagema busca inducir a los usuarios a divulgar sus detalles financieros, aprovechando la legitimidad aparente de los mensajes y la urgencia de las situaciones planteadas. La prevención y la cautela son esenciales para evitar caer en esta trampa digital.
La Agencia de Ciberseguridad de Cataluña, una entidad oficial dependiente de la Generalitat, ha puesto en alerta al público sobre la reaparición de un esquema de fraude cibernético que imita la identidad de la conocida plataforma de reservas Booking. Este método fraudulento típicamente inicia con un ataque a la infraestructura de datos del hotel, explotando puntos vulnerables en sus sistemas de seguridad. Las personas afectadas, en todos los incidentes reportados hasta la fecha, son individuos que previamente habían asegurado una reserva genuina de alojamiento a través de Booking.
La modus operandi, detallado por la Agencia de Ciberseguridad de Cataluña, implica que los ciberdelincuentes logran acceder a las cuentas de los establecimientos turísticos y, haciéndose pasar por los administradores, establecen contacto con los usuarios que han realizado una reserva mediante Booking. Estos mensajes fraudulentos suelen indicar una supuesta anomalía con el pago y solicitan a los destinatarios que validen su información a través de un enlace malicioso. De este modo, la víctima recibe una comunicación que parece totalmente auténtica, procedente del supuesto hotel o apartamento. El mensaje advierte sobre un error en el procesamiento del pago y exige al cliente que ingrese sus credenciales bancarias en un enlace provisto para evitar la cancelación de su reserva. Con frecuencia, estos mensajes utilizan un tono imperativo y presionan a la víctima para que actúe en un lapso muy breve. El argumento principal suele ser la inminente pérdida de la reserva. Al hacer clic en el enlace, el usuario puede ser redirigido a una página web falsa que simula ser la de Booking. Si el usuario ingresa sus datos bancarios, corre el riesgo inminente de sufrir una pérdida económica.
Por consiguiente, la agencia de ciberseguridad aconseja a los usuarios mantener la desconfianza ante comunicaciones que presenten un carácter apremiante, que soliciten información personal o bancaria, y que eviten hacer clic en cualquier enlace que consideren sospechoso. En caso de existir problemas legítimos con un pago, Booking solicitará al usuario que acceda directamente a su sitio web o a la aplicación oficial para verificar o modificar el método de pago, y nunca lo hará a través de un enlace externo. Asimismo, se recomienda contactar directamente con el alojamiento para aclarar cualquier situación dudosa.
La raíz de esta modalidad de estafa, que suplanta la identidad de Booking.com, se remonta a su detección inicial en 2023, según información proporcionada por Monlex Abogados. La primera víctima de estos ciberataques suele ser el propio establecimiento hotelero. Los atacantes consiguen infiltrarse en los sistemas informáticos del hotel, como su sistema de gestión de propiedades (PMS) o el correo electrónico, explotando vulnerabilidades que les permiten un acceso no autorizado a la información de la empresa, o bien manipulando al personal del hotel mediante técnicas de ingeniería social. El objetivo primordial de los atacantes es acceder a la base de datos de clientes del hotel que han realizado reservas a través de Booking. Una vez identificados, se procede a la extracción de sus datos de contacto, prestando especial atención a las direcciones de correo electrónico y números de teléfono. Posteriormente, el atacante envía un correo electrónico o un mensaje SMS a los clientes del hotel, priorizando a aquellos cuya fecha de llegada es más próxima, aprovechando la 'urgencia' debido a la inminencia de la reserva. El mensaje suplanta la identidad de Booking o del hotel, solicitando por motivos urgentes, como overbooking, hacer clic en un enlace para confirmar la reserva y efectuar el pago total de la misma. En una situación de elevado estrés, la víctima suele pulsar el enlace fraudulento y sigue las instrucciones para confirmar y abonar la reserva. El pago se transfiere a una cuenta bancaria del atacante, sin dejar rastro, y el cliente, al llegar al hotel, se encuentra con la desagradable sorpresa de haber pagado su estancia de forma incorrecta. Monlex detalla que el primer incidente de este tipo de estafa se registró en 2023, cuando los atacantes explotaron las debilidades de un hotel en Bilbao, cuya base de datos fue comprometida y empleada para estafar a 24 huéspedes.
A raíz de estos incidentes, la Agencia Española de Protección de Datos inició una investigación, con la cooperación de Booking.com, revelando que el hotel tenía conocimiento previo de la brecha de seguridad, pero no comunicó adecuadamente la vulnerabilidad a la Agencia ni implementó las medidas de seguridad necesarias para corregir el problema. La Agencia Española de Protección de Datos concluyó el caso imponiendo una sanción de 7.000 euros al hotel afectado.
Es imperativo que tanto los viajeros como los operadores hoteleros se mantengan vigilantes ante la creciente sofisticación de las ciberestafas. La protección de los datos personales y financieros depende de una verificación constante de la autenticidad de las comunicaciones y de la adopción de protocolos de seguridad robustos. La colaboración entre las agencias de ciberseguridad, las plataformas de reserva y los establecimientos de alojamiento es fundamental para mitigar los riesgos y asegurar un entorno digital más seguro para todos los involucrados en la industria turística.