En este artículo, vamos a detallar en qué consiste esta modalidad de estafa y, lo más relevante, cómo actuar ante ella. El propósito es evitar que te roben dinero y proteger a tus seres queridos que hayan reservado una estancia en un hotel y puedan encontrarse con esta problemática.
Problema falso con una reserva de hotel
Recibí un mensaje por WhatsApp, supuestamente del administrador de un hotel donde me había alojado en Berna, Suiza. En el mensaje decían que habían intentado contactarme sin éxito, todo relacionado con una reserva que tenía con ellos, con una fecha específica que correspondía a una estancia real.
Aseguraban haber detectado un problema mediante una comprobación de seguridad automática y que no habían logrado verificar los detalles de mi tarjeta bancaria. Según indicaban, esto era parte de una nueva política de Booking, la plataforma que utilicé para reservar, destinada a combatir el fraude y asegurar que los datos de la tarjeta correspondieran a la persona legítima.
Como es habitual en este tipo de fraudes, me solicitaban que ingresara a un link y completara una verificación rápida para confirmar que los datos de la tarjeta eran míos. Su verdadero objetivo era robar mis datos bancarios. Además, me pedían que aceptara una notificación push (el sistema de autenticación de dos factores comúnmente utilizado por entidades bancarias) o confirmar mediante SMS. Esto les daría acceso para robar mi dinero, ya que yo mismo estaría autorizando el pago. Compartir estos códigos de verificación con terceros otorga acceso no autorizado a las cuentas, aumentando el riesgo de sustracción de fondos. A continuación, te muestro parte del mensaje que recibí por WhatsApp:
Señales evidentes de fraude
En mi caso, hay un aspecto que llama la atención. El mensaje por WhatsApp llegó días después de haber estado en ese alojamiento. Me amenazaban con cancelar la reserva si no seguía esos pasos, pero yo ya había completado mi estancia y estaba en otra ciudad.
Es evidente que utilizan envíos automáticos, modificando solo los datos personales y de reserva de los clientes de hoteles que han hackeado previamente. No se dieron cuenta de que se trataba de una reserva pasada, lo que dificulta que alguien caiga en la trampa.
Otra señal clara de que estaba ante una estafa es que se identificaron como Christine Schmidt. Sin embargo, el nombre de WhatsApp mostrado era Yogesh Barood. Al ver la foto de perfil, aparecía lo que parecía ser un hombre indio, ya que era una tarjeta personal con letras en hindi y un número de teléfono indio (me contactaron desde otro número diferente, también con código indio).
En cuanto a la información de esa cuenta de WhatsApp, se presentaba como administrador de hotel y de Booking. En ningún momento mencionaba el hotel donde había estado, lo que indica que era parte de una campaña masiva que abarcaba hoteles variados en diferentes países.
También es importante destacar la URL que acompañaba al mensaje. No pertenecía a Booking ni al hotel en sí, sino que era un dominio extraño que intentaba imitar a Booking. Al acceder a la web, que estaba personalizada (con mi número de móvil y el nombre del hotel), se mostraba un formulario que solicitaba ingresar todos los datos de mi tarjeta bancaria, como si realmente estuviera pagando en Booking. Aquí tienes una captura de la web que solicitaba los datos de la tarjeta bancaria.
Es importante mencionar que el sitio web estaba bien diseñado, presentando información correcta sobre precios y una apariencia que, para alguien sin experiencia, podría parecer legítima y pasar por Booking.
Pasos a seguir
Si recibes un mensaje de este tipo, ya sea por WhatsApp, como en mi caso, o por email o Booking, lo primero es ignorarlo. El hotel que reservaste nunca te solicitará que proporciones tu número de tarjeta bancaria para comprobar que eres el usuario legítimo, ni te enviará un enlace para realizar un pago.
Después, es fundamental contactar con el hotel. En mi situación, me comuniqué rápidamente para informarles de lo ocurrido, ya que estaba seguro de que otros clientes podían estar recibiendo mensajes similares. Me confirmaron que se trataba de un mensaje Scam que estaban enviando a varios clientes, solicitando verificar los detalles de la tarjeta, y que estaban alertando a todos los afectados.
Además, en ese mismo mensaje, me pidieron que denunciara el número a WhatsApp. Eso ya lo había hecho. Es un paso que debes seguir si te enfrentas a estafas como estas, ya que puede ayudar a que se frenen las estafas desde ese número. Sin embargo, ya han pasado cuatro días desde que hice la denuncia y el número sigue activo en WhatsApp.
En cuanto a cómo obtuvieron mi número, fechas de entrada y salida en el hotel, así como el importe pagado y el medio de reserva (Booking), esta información la obtienen al hackear el propio hotel. Generalmente, acceden a la cuenta de Booking del establecimiento, donde pueden ver los datos de los clientes, sus fechas y pagos. Luego, inician el contacto a través de la propia plataforma, email o, como en este caso, por WhatsApp.
Consejos para identificar estafas en Booking
| Señal de Alerta | Ejemplo Concreto en el Caso | Por qué es una Alarma |
|---|---|---|
| Incongruencia en la Identidad | El mensaje es firmado por ‘Christine Schmidt’, pero el perfil de WhatsApp pertenece a ‘Yogesh Barood’. | Los estafadores suelen utilizar identidades ficticias y cometen errores de coincidencia. |
| Prefijo Internacional | El número de teléfono tenía prefijo indio, para un hotel en Suiza. | Indica que el contacto no proviene del hotel local, sino de un centro de operaciones fraudulento. |
| URL No Auténtica | El enlace para ‘verificar’ no lleva a booking.com, sino a un dominio extraño. | Es un clásico método de phishing que redirige a la víctima a una web falsa que roba datos. |
| Momentos Sospechosos | El mensaje llegó días después de haber terminado la estancia en el hotel. | Esto demuestra que es un envío masivo y automatizado sin verificar el estado real de la reserva. |
| Presión y Urgencia | Amenazan con cancelar la reserva si no se actúa de inmediato. | Buscan que la víctima actúe impulsivamente, sin pensar ni verificar la información. |
En resumen, ten cuidado si recibes un mensaje por WhatsApp u otros medios tras realizar una reserva de hotel, ya que podrían robar tus datos bancarios si cometes el error de caer en la trampa. Es fundamental alertar a amigos y familiares, además de protegerte a ti mismo. Desde INCIBE, el Instituto Nacional de Ciberseguridad, ofrecen información sobre cómo denunciar en caso de ser víctima de un ataque de este tipo. En Booking, en la sección de colaboradores, tienen una parte sobre seguridad online para alertar sobre problemas como este e informar sobre cómo proceder.
Preguntas frecuentes
¿Pueden robar mis datos bancarios si no accedo al enlace?
No, si no ingresas al enlace que te envían y no introduces tus datos bancarios en esa web falsa, no tienen acceso a ellos. Solo pueden acceder a información personal, como tu nombre o número de teléfono, al haber hackeado previamente al hotel.
¿Qué debo hacer si caí en la trampa?
Es crucial actuar de inmediato y contactar a tu banco para bloquear la tarjeta, reportar el pago no autorizado y cambiar tus contraseñas para limitar el riesgo.
¿Puede llegar este mensaje por otros medios?
Sí, podrías recibir algo similar por SMS o correo electrónico. Incluso han utilizado la propia plataforma de Booking.
