Booking: así es la nueva estafa que roba los datos bancarios

Las estafas suplantando compañías conocidas no son un fenómeno nuevo en Internet, pero su frecuencia ha aumentado considerablemente. En este caso, los delincuentes se hacen pasar por Booking para enviar mensajes falsos a través del alojamiento a los usuarios, indicando que si no se completan ciertos datos en un enlace la reserva será cancelada.

Los estafadores han logrado emular perfectamente el formato y los enlaces habituales utilizados por la plataforma de reservas, engañando incluso a los usuarios más cautelosos. Al hacer clic en el enlace, el usuario es redirigido a un sitio web que imita a la perfección la apariencia de Booking, donde se le solicita ingresar los datos de la tarjeta de crédito.

Imagen de la página web de Booking. Fuente: Hosteltur

En algunos casos, la estrategia de los delincuentes incluye un segundo enlace que vuelve a solicitar los datos bancarios creándote una necesidad de actuar inmediatamente, diciéndote que tu reserva será cancelada. Esta táctica duplica las oportunidades de obtener la información financiera del usuario, haciendo que muchos caigan en la trampa.

Las autoridades y expertos en ciberseguridad recomiendan extremar las precauciones al recibir este tipo de mensajes. Es fundamental no hacer clic en enlaces sospechosos y verificar directamente en la plataforma oficial cualquier solicitud de información. Además, se aconseja habilitar sistemas de autenticación en dos pasos y estar atentos a señales que puedan indicar que un sitio web no es auténtico, como errores ortográficos o inconsistencias en la URL.

¿Cómo sucede este tipo de ataque?

Por otra parte, Monlex abogados ha explicado paso a paso cómo suceden este tipo de ataques que engañan a los clientes de Booking:

1. La primera víctima del ciberataque es el establecimiento hotelero. Los atacantes acceden a los sistemas de información del hotel, su PMS, correo electrónico, etc. Se aprovechan de distintas vulnerabilidades que permitan el acceso no autorizado a la información de la empresa, o bien engañando al personal del hotel mediante ingeniería social.

2. Se persigue acceder a la base de datos de clientes del hotel, que hayan reservado mediante la plataforma de Booking. Una vez localizados, se extraen los datos de contacto, especialmente el correo electrónico y su teléfono.

3. El atacante remite un correo o sms a los clientes del hotel, especialmente a los que tengan la fecha de llegada más cercana, aprovechando la “urgencia” por estar cerca el día de la reserva. En el mensaje, se suplanta la identidad de Booking o el hotel, solicitando por motivos de urgencia, overbooking, etc. pulsar en un enlace para confirmar la reserva y efectuar el pago por el total de la misma.

4. La víctima, al estar en una situación de estrés elevado, suele pulsar al enlace fraudulento y sigue las instrucciones para confirmar y pagar la reserva.

5. En conclusión, el pago se remite a una cuenta bancaria del atacante sin dejar rastro de su identidad, y el cliente cuando llega al hotel, se encuentra con la desagradable sorpresa de haber abonado su estancia erróneamente.

Más información:

- Airbnb y Booking bajan en bolsa ¿Efecto tras la prohibición en Barcelona?

- Ataques de 'phishing' en "punta de lanza" amenazan al sector turístico

- La Policía explica (con Airbnb) cómo evitar estafas en alquiler vacacional