La Agencia de Ciberseguridad de Cataluña, organismo oficial de la Generalitat, ha alertado de que este verano se ha vuelto a detectar una ciberestafa dirigida a consumidores mediante la suplantación de la identidad de la plataforma de alojamientos Booking. Este fraude suele iniciarse con un ataque a la base de datos del hotel, aprovechando vulnerabilidades en sus sistemas. Las víctimas son, en todos los casos detectados, usuarios que habían realizado una reserva real de alojamiento a través de Booking.
Según explica la Agencia de Ciberseguridad de Cataluña, los ciberdelincuentes acceden a las cuentas de alojamientos turísticos y, haciéndose pasar por los propietarios, contactan con los usuarios que han realizado una reserva a través de Booking. “Estos mensajes alertan de un problema con el pago y te piden que confirmes tus datos a través de un enlace fraudulento”, explica dicha entidad.
Así, el usuario recibe un mensaje “que puede parecer completamente legítimo” del supuesto hotel o apartamento. El mensaje indica que el pago no se ha procesado de forma correcta y pide al cliente introducir sus datos bancarios en un enlace para no perder la reserva, explica el organismo.
Además, “a menudo estos mensajes suelen tener un tono urgente e instan a la víctima a realizar una acción en un período de tiempo muy corto. En estos casos, el reclamo suele ser la pérdida de la reserva. Si haces clic en el enlace, pueden redirigirte a una página web falsa que imita la de Booking. Si introduces tus datos bancarios, puedes perder tu dinero”.
Por dicho motivo, la agencia de ciberseguridad recomienda a los usuarios “desconfíar de mensajes con carácter urgente, que piden datos personales o bancarios” y no hacer clic en enlaces sospechosos.
“Si realmente existen problemas con tu pago, Booking te pedirá que accedas a su sitio web o a la aplicación para revisar o modificar el método de pago y no mediante un enlace. También puedes contactar directamente con el alojamiento para clarificar la situación”.
Las víctimas de estas ciberestafas, al estar en una situación de estrés elevado, suelen pulsar al enlace fraudulento y seguir las instrucciones para confirmar y pagar la reserva. Fuente: Adobestock
La ciberestafa comienza con el asalto a la base de datos del hotel
Este tipo de estafa que suplanta la identidad de Booking.com comenzó a detectarse a partir de 2023, según explicó Monlex Abogados en un post publicado en la Comunidad Hosteltur.
“La primera víctima del ciberataque es el establecimiento hotelero. Los atacantes acceden a los sistemas de información del hotel, su PMS, correo electrónico, etc. Se aprovechan de distintas vulnerabilidades que permitan el acceso no autorizado a la información de la empresa, o bien engañando al personal del hotel mediante ingeniería social”, explican desde este bufete.
Así, los atacantes persiguen acceder a la base de datos de clientes del hotel que hayan reservado mediante la plataforma de Booking. “Una vez localizados, se extraen los datos de contacto, especialmente el correo electrónico y su teléfono”.
A continuación, “el atacante remite un correo o sms a los clientes del hotel, especialmente a los que tengan la fecha de llegada más cercana, aprovechando la “urgencia” por estar cerca el día de la reserva. En el mensaje, se suplanta la identidad de Booking o el hotel, solicitando por motivos de urgencia, overbooking, etc. pulsar en un enlace para confirmar la reserva y efectuar el pago por el total de la misma. La víctima, al estar en una situación de estrés elevado, suele pulsar al enlace fraudulento y sigue las instrucciones para confirmar y pagar la reserva”.
Así pues, el pago se remite a una cuenta bancaria del atacante, sin dejar rastro, y el cliente cuando llega al hotel “se encuentra con la desagradable sorpresa de haber abonado su estancia erróneamente”.
Según explica Monlex, el primer caso de este tipo de estafa se detectó en 2023, cuando los atacantes aprovecharon las vulnerabilidades de un hotel en Bilbao, cuya base de datos fue saqueada y utilizada para estafar a 24 clientes.
A raíz de estos hechos, la Agencia Española de Protección de Datos abrió una investigación, con la colaboración de Booking.com, y se determinó que el hotel ya conocía la brecha de seguridad, pero no comunicó convenientemente la vulnerabilidad a la propia Agencia ni tampoco estableció medidas de seguridad adecuadas para arreglar el problema. La Agencia Española de Protección de Datos resolvió el incidente con una sanción de 7.000 euros al hotel.
Puedes leer el post completo de Monlex Abogados en el siguiente enlace:
