A los usuarios les llega un mensaje advirtiendo que el pago del alojamiento no se ha realizado correctamente o que queda un pago pendiente, enviando un enlace que redirige a una página que simula la interfaz de la web
En plena temporada alta de verano, una nueva oleada de estafas cibernéticas está poniendo en jaque a miles de usuarios y hoteles que operan a través de Booking.com, una de las plataformas de reservas más utilizadas del mundo. La compañía de ciberseguridad Check Point Software Technologies ha alertado sobre un sofisticado sistema de fraude que ya ha comenzado a hacer estragos en plena campaña de vacaciones.
El truco del mensaje urgente: así acceden a las reservas reales
El engaño comienza con el robo de credenciales de acceso de los hoteles mediante técnicas como el phishing o la instalación de malware. Una vez que los ciberdelincuentes obtienen el control de una cuenta legítima de un establecimiento, acceden al listado de reservas y envían mensajes reales —a través del sistema oficial de Booking— a los clientes que ya tienen confirmada su estancia.
En esos mensajes, advierten con urgencia que el pago no se ha completado correctamente o que se necesita confirmar de inmediato un cargo pendiente, advirtiendo que si no se realiza el pago en cuestión de horas, la reserva será cancelada. Para ello, adjuntan un enlace que dirige a una web que simula de forma idéntica la interfaz oficial de Booking.com.
“Son estafas que usan ingeniería social avanzada y una apariencia absolutamente creíble. La víctima cree estar en contacto con el hotel o la plataforma, pero en realidad está introduciendo sus datos bancarios en una página falsa diseñada al milímetro”, explica Rafael López, experto en ciberseguridad de Check Point.
Más de 39.000 dominios nuevos vinculados a “vacaciones”
Este nuevo tipo de fraude no es un caso aislado. Según datos de Check Point Research, solo en el mes de mayo se registraron más de 39.000 nuevos dominios web relacionados con vacaciones, y de ellos, uno de cada 21 fue catalogado como malicioso o sospechoso. Las campañas emplean incluso herramientas de IA generativa para diseñar webs falsas, escribir textos convincentes y automatizar ataques a gran escala.
Además del daño económico que suponen estas estafas para los viajeros —que pueden perder el importe completo de su supuesta reserva—, también representan un problema de reputación y confianza para los hoteles afectados, así como un nuevo reto para plataformas como Booking, que ahora deben reforzar su sistema de seguridad y verificación.
¿Cómo identificar el fraude?
Los expertos advierten que, aunque el mensaje llegue a través del canal oficial de Booking, hay varias señales de alarma que pueden ayudar a detectar que se trata de un intento de estafa:
-
Presión para realizar un pago urgente bajo amenaza de cancelación.
-
Enlaces externos que, aunque parezcan legítimos, no redirigen al dominio oficial de Booking.com.
-
Mensajes que requieren pagos fuera de la propia pasarela de la plataforma.
-
Errores gramaticales o traducciones forzadas (aunque cada vez son menos frecuentes debido a la IA).
Consejos para protegerse
Desde Check Point ofrecen varias recomendaciones tanto para hoteles como para clientes:
-
Verificar siempre los enlaces antes de introducir datos personales o bancarios.
-
Nunca hacer pagos fuera de la plataforma de Booking.
-
En caso de duda, contactar directamente con el hotel por otro canal, como teléfono o correo.
-
Mantener los sistemas informáticos del hotel actualizados y protegidos con software de seguridad.
-
Activar la verificación en dos pasos en las cuentas de administrador.
Además, Booking.com ha anunciado que trabaja ya en implementar nuevas medidas de protección y autenticación, pero los expertos coinciden: la responsabilidad compartida entre usuarios, plataformas y proveedores es clave para frenar este tipo de ataques.
