No es la primera vez que una campaña afecta a Booking, una de las plataformas más conocidas para realizar reservas de hoteles. En esta ocasión, están llevando a cabo una campaña de Phishing para estafar tanto a los socios hoteleros como a los clientes. Esta estrategia incluye el uso de correos electrónicos, abuso de infraestructura y también ingeniería social, tanto por email como por WhatsApp.
A continuación, explicaremos en qué consiste esta campaña y te daremos algunos consejos para evitar caer en su trampa. Prevenir ser víctima de este tipo de fraude es crucial para proteger tus contraseñas y no facilitar el trabajo a los atacantes. Si has hecho una reserva reciente en Booking, mantente alerta, ya que podrías recibir mensajes fraudulentos que se hagan pasar por la marca o el hotel.
Nuevo desafío para Booking
Los atacantes se aprovechan de la popularidad de Booking. Saben que hay muchos usuarios que utilizan este servicio para realizar sus reservas. En diversos casos, incluso hacen múltiples reservas consecutivas, por ejemplo, cuando están de viaje por un país. Por ello, no es extraño recibir mensajes del hotel, lo que ellos aprovechan para realizar sus estafas. Este problema ha sido detectado por investigadores de seguridad de Bridewell, como se detalla en su publicación del 16 de febrero.
La campaña se desarrolla en varias fases. En la primera fase, envían correos electrónicos de Phishing a las direcciones de reservas o atención al cliente de un hotel. Se hacen pasar por Booking.com, simulando que están en contacto con sus socios por alguna razón. Suelen mencionar quejas de huéspedes o preguntar sobre la disponibilidad de habitaciones, buscando que la persona responda.
En la segunda fase, utilizan un kit de Phishing específico para socios de Booking. El objetivo es robar las credenciales de acceso a Booking.com del hotel, que usarán los empleados, mediante la suplantación visual del portal oficial. Así, la víctima, un trabajador del hotel, creerá que está ingresando sus datos en el portal legítimo de Booking, pero en realidad está entregando toda la información al atacante.
Una vez que logran acceder a la cuenta de Booking del hotel, podrán contactar a los huéspedes. En este caso, lo harán a través de WhatsApp, un medio rápido que garantiza que los mensajes sean vistos. Ten en cuenta que se han apoderado de todos los datos necesarios, como nombre completo, fecha de la reserva y número de teléfono.
Señales de alerta
| Elemento | Comunicación Legítima (Booking) | Comunicación Fraudulenta (Estafa) |
|---|---|---|
| Canal | Principalmente a través del chat seguro de la app/web y email oficial. | WhatsApp desde números desconocidos o emails con dominios extraños. |
| Tono | Informativo, sin presiones de tiempo extremas. | Urgente, amenazante (ej. «su reserva será cancelada en 24h»). |
| Solicitud de Datos | Nunca solicita el CVV completo o datos de tarjeta fuera de la pasarela de pago inicial. | Pide introducir de nuevo todos los datos de la tarjeta en un enlace externo. |
| URL / Enlace | Siempre dentro del dominio booking.com. | Dominios que imitan la marca (b00king.com, booking-support.net). |
Cómo proceder
Ante situaciones como esta, es esencial estar preparado y evitar errores. Debes desconfiar siempre de cualquier mensaje que recibas por WhatsApp o correo que te solicite datos personales, copias de tu tarjeta bancaria o cualquier información que pueda ser utilizada en tu contra. Lo más recomendable es ignorar esos mensajes y, si es posible, contactar con el hotel a través de otro medio, como un correo electrónico seguro. Desde INCIBE, el Instituto Nacional de Ciberseguridad de España, advierten sobre este tipo de engaños relacionados con hoteles y vacaciones.
Recuerda que los atacantes van a utilizar dominios que parecen legítimos de Booking, pero que en realidad no lo son. Muchos de estos dominios, según los investigadores de seguridad, han sido creados recientemente. Algunos ejemplos son: app-htl-manage(.com) o extrapps-poratlcenter(.com). Siempre verifica cualquier URL que recibas. A menudo, el dominio cambia ligeramente; por ejemplo, b00king (con dos ceros).
Cualquier vez que hagas clic en un enlace y aparezca una pantalla de inicio de sesión, sal de inmediato. Cuando vayas a acceder a tu cuenta, hazlo directamente desde la web oficial de Booking, escribiéndola tú mismo en la barra de direcciones o utilizando un buscador. Nunca accedas desde enlaces que recibas por email, SMS o WhatsApp.
Preguntas frecuentes
¿Por qué este tipo de campañas maliciosas afecta a los usuarios de Booking?
La razón es que Booking es una plataforma muy popular para realizar reservas de hoteles. Los atacantes se aprovechan de esto para llegar a un mayor número de víctimas potenciales.
¿Es culpa de Booking la situación?
No, este problema no es un error de Booking ni un fallo de su parte. Simplemente están usando su marca de manera ilegítima para dirigirse a sus socios y clientes. Ninguno de los sistemas ni la infraestructura de Booking.com ha sido comprometida de ninguna manera.
¿Qué debo hacer si he sido víctima de esta estafa?
Es crucial que actúes rápidamente. Cambia tus contraseñas, verifica que tienes habilitada la autenticación de dos factores y escanea tu sistema en busca de posibles amenazas.
