Que no le dañen el paseo: ciberdelincuentes estafan a viajeros, haciéndose pasar por reconocida empresa internacional

Los correos electrónicos de ‘phishing’, que buscan engañar, haciéndose pasar por una empresa conocida, son cada vez más habituales, pero no suele ser tan común que incluyan detalles de las reservas de los clientes como los que giran en torno a Booking.

Los usuarios de Booking llevan cinco años compartiendo los intentos de estafa que aprovechan la marca de la agencia de viajes para intentar engañarlos.

Se trata de correos electrónicos que reciben los clientes que han hecho una reserva a través del conocido portal, con la peculiaridad de que incluyen detalles concretos de la misma, como el nombre del alojamiento, el tipo de habitación, las fechas e incluso el coste total o el número de confirmación de la reserva.

Los correos se dirigen a la persona que ha hecho la reserva, identificada con su nombre y apellidos, y muestran una apariencia demasiado similar a la que puede verse en un correo legítimo de Booking. En unos casos refieren un problema con el proceso de pago; en otros, instan a confirmar la reserva, pulsando un botón que redirige a una página web idéntica a la del portal real.

La dirección desde la que se envía tampoco levanta las sospechas. Y en algunas ocasiones, si el usuario ha incluido el contacto a través del número de teléfono, puede recibir un mensaje a través de WhatsApp sobre la reserva en nombre del alojamiento, como le ha pasado al un lector de Ars Technica.

Estos ‘emails’ aparecen -incluso- si el cliente no ha compartido los datos ‘online’, como es el caso de este lector, apuntan en el medio citado, lo que lleva a sospechar de algún tipo de fuga de datos.

Los intentos de estafa tan detallados se pueden rastrear hasta 2018 en portales como Reddit, donde los usuarios compartieron su experiencia al recibir los correos de ‘phishing’. Uno de los participantes en el foro refirió entonces la posible causa: un ‘hackeo’ del portal que la plataforma gestiona aparte con los hoteles con los que trabaja.

Los hoteles se convirtieron en el objetivo de ataques de ‘phishing’ que acabaron comprometiendo sus sistemas, según detalló Booking en 2018 al diario español Express, y ha repetido en un comunicado remitido este miércoles a Ars Technica, con casi cinco años de diferencia.

En concreto, el comunicado más reciente dice: “Hemos sido informados de que algunos socios de alojamiento han sido blanco de correos electrónicos de ‘phishing’, lo que desafortunadamente ha llevado a que sus sistemas se vean comprometidos. Si bien la brecha de seguridad no fue en Booking.com, sabemos que las cuentas de algunos de nuestros socios de alojamiento se han visto afectadas. Booking.com bloqueó rápidamente estas cuentas para ayudar a reducir el riesgo y nuestros equipos están apoyando activamente a estos socios de alojamiento para garantizar que puedan reanudar sus listados en nuestra plataforma de manera rápida y segura. También estamos apoyando activamente a cualquier cliente potencialmente afectado, ya que nuestros equipos de seguridad continúan investigando este problema”.

*Con información de Europa Press