Sanción de 7000 € a un hotel por la estafa de Booking

Refrescaremos la memoria, por si alguno de nosotros no nos acordamos de lo sucedido a lo largo del verano pasado, y que todavía sigue vigente. Algunos de los clientes de hoteles que trabajan con Booking para recibir sus reservas, fueron víctimas de una serie de ciberataques con el objetivo de pagar sus estancias a los criminales. El tipo de ataque utilizado fue el de Phishing, o conocido en nuestro idioma como suplantación de identidad, con una gran tasa de impacto por su alta sofisticación y precisión. ¿Cómo sucede este tipo de ataque de suplantación de identidad de Booking? Vamos a explicarlo por pasos:

1. La primera víctima del ciberataque es el establecimiento hotelero. Los atacantes acceden a los sistemas de información del hotel, su PMS, correo electrónico, etc. Se aprovechan de distintas vulnerabilidades que permitan el acceso no autorizado a la información de la empresa, o bien engañando al personal del hotel mediante ingeniería social.

2. Se persigue acceder a la base de datos de clientes del hotel, que hayan reservado mediante la plataforma de Booking. Una vez localizados, se extraen los datos de contacto, especialmente el correo electrónico y su teléfono.

3. El atacante remite un correo o sms a los clientes del hotel, especialmente a los que tengan la fecha de llegada más cercana, aprovechando la “urgencia” por estar cerca el día de la reserva. En el mensaje, se suplanta la identidad de Booking o el hotel, solicitando por motivos de urgencia, overbooking, etc. pulsar en un enlace para confirmar la reserva y efectuar el pago por el total de la misma.

4. La víctima, al estar en una situación de estrés elevado, suele pulsar al enlace fraudulento y sigue las instrucciones para confirmar y pagar la reserva.

5. En conclusión, el pago se remite a una cuenta bancaria del atacante sin dejar rastro de su identidad, y el cliente cuando llega al hotel, se encuentra con la desagradable sorpresa de haber abonado su estancia erróneamente.

Este método de ataque fue utilizado aprovechando las vulnerabilidades de un hotel en Bilbao, que fue utilizado para atacar a unas 24 víctimas. En este caso, se utilizó también como medio de contacto WhatsApp, así como el correo electrónico, para engañar a sus clientes. Abierta una investigación por parte de la Agencia Española de Protección de Datos, se descubre que el hotel ya conocía la brecha de seguridad pero no fue convenientemente comunicada a la propia Agencia. Concretamente, no fue una, sino dos brechas las acontecidas por los mismos hechos.

La investigación arrojó varias incidencias, como la falta de medias de seguridad bien aplicadas para evitar compromisos en la confidencialidad de los datos de clientes y la falta de notificación de ambas brechas como se establece en la normativa, en plazo y forma. Hay que destacar que en la investigación se implicó la propia Booking, entendemos que para despejar dudas sobre la seguridad que ellos mismos aplican sobre sus sistemas de comunicación con clientes y huéspedes.

En definitiva, la Agencia Española de Protección de Datos resolvió el incidente con una sanción de 7000€ al hotel por los motivos expuestos anteriormente. Por ello, siempre recomendamos actuar con proactividad sobre la seguridad de la información de nuestras empresas, aplicando las medidas de seguridad y organizativas adaptadas a cada uno. Asimismo, los protocolos de actuación en caso de brechas de seguridad son importantísimos para evitar sanciones como la comentada. Debemos pensar que, una vez iniciados los procedimientos de inspección de la Agencia, no hay vuelta atrás y es muy complicado crear procedimientos o aplicar medidas justificativas.

Xavier Ferretjans

xferretjans@binauramonlex.com

Director de BinauraMONLEX