En los últimos días medios de comunicación del mundo entero dieron cuenta de un nuevo tipo de estafa que ha tenido como protagonista a Booking.com a través de ciberdelincuentes que se han válido del chat, supuestamente oficial, de la aplicación de su plataforma.
La elección de Booking.com no es casual: se trata de una de las empresas online de viajes más consolidade en el mundo. Según la consultora Statista, en 2023 registró ingresos por US$ 21.365 mil millones, los más elevados desde el inicio de su andadura, en 1996 en Ámsterdam.
Llamado de atención: "una estafa muy peligrosa"
Uno de los llamados de alerta lo dio la cuenta Fiscalidad para todos de TikTok. "Es una estafa muy peligrosa porque no es el típico e-mail que te envían con faltas de ortografía o desde direcciones de correo sospechosas. Se trata de un timo desde dentro de la aplicación", advirtió este canal.
Según esta denuncia, los estafadores hackearon el sistema de Booking para hacerse pasar por los propios hoteles. Así, desde un chat fraudulento, le informan al cliente que por un error de verificación de su tarjeta la reserva podría ser cancelada, invitándolo a volver a verificar los datos a través de un “enlace personalizado”.
Para dar tranquilidad, el mensaje acota que tras la verificación “Booking cargará en tu tarjeta el importe de tu reserva y te lo devolverá en un minuto”. Situación que claramente no ocurrirá.
Booking.com y la ciberseguridad
Las víctimas de este hackeo se cuentan por cientos, muchas de las cuales han expresado sus lamentos en redes sociales. Como el usuario @wise16, que en X (antes Twitter), comenta haber recibido dos mensajes desde la app de Booking sobre una reserva que hizo para fin de año.
Ante la sospecha, llamó al servicio de atención al cliente de la compañía, pero “la persona al teléfono no parecía entender la importancia de lo que estaba denunciando", lamenta en el hilo y dice que en vez de involucrarse en el tema ésta le colgó la llamada.
“El gran problema de esta estafa es que está sucediendo dentro de la propia plataforma tal y como reportan algunos usuarios”, apunta el sitio especializado en tecnología Xataka, que como medida de prevención recomienda “no confiar nunca en los enlaces externos” y verificar que el link lleve a la página verdadera de la empresa (Booking, en este caso puntual), y que no sea una página parecida.
Si bien en respuesta a consultas periodísticas Booking afirma que ni sus sistemas ni su infraestructura han sido vulnerados, está claro que hubo una maniobra de hackeo. No en vano la plataforma termina recomendado a sus clientes que "comprueben la política de pago del alojamiento o que se pongan en contacto con Booking directamente si ven algo sospechoso”.
Hoteles: estafas en las reservas online
Por otra parte, el estudio de asesoría legal Monlex Abogados ha explicado paso a paso cómo suceden este tipo de ataques que engañan a los clientes de Booking, pero en este caso cuando el hackeo se produce en los sistemas de los propios hoteles:
- La primera víctima del ciberataque es el establecimiento hotelero. Los atacantes acceden a los sistemas de información del hotel, su PMS, correo electrónico, etc. Se aprovechan de distintas vulnerabilidades que permitan el acceso no autorizado a la información de la empresa, o bien engañando al personal del hotel mediante ingeniería social.
- Se persigue acceder a la base de datos de clientes del hotel, que hayan reservado mediante la plataforma de Booking. Una vez localizados, se extraen los datos de contacto, especialmente el correo electrónico y su teléfono.
- El atacante remite un correo o sms a los clientes del hotel, especialmente a los que tengan la fecha de llegada más cercana, aprovechando la “urgencia” por estar cerca el día de la reserva. En el mensaje, se suplanta la identidad de Booking o el hotel, solicitando por motivos de urgencia, overbooking, etc. pulsar en un enlace para confirmar la reserva y efectuar el pago por el total de la misma.
- La víctima, al estar en una situación de estrés elevado, suele pulsar al enlace fraudulento y sigue las instrucciones para confirmar y pagar la reserva.
- En conclusión, el pago se remite a una cuenta bancaria del atacante sin dejar rastro de su identidad, y el cliente cuando llega al hotel, se encuentra con la desagradable sorpresa de haber abonado su estancia erróneamente.
Temas relacionados