El turismo internacional se ha convertido en un objetivo cada vez más atractivo para los ciberdelincuentes, y la plataforma de reservas de alojamiento Booking.com es un objetivo preferente: en los últimos meses, numerosos turistas han sido víctimas de estafas de suplantación y phishing mientras utilizaban esta popular plataforma de reservas.
Por ejemplo, el usuario @ChicoToxico ha compartido en Twitter su experiencia como víctima, un testimonio de cómo estuvo a las puertas de perder cerca de 3.000 €. Todo comenzó con un mensaje supuestamente enviado por el hotel a través de la plataforma de Booking.com, solicitando la validación del medio de pago…
Sospechoso, sí, pero por desgracia esta situación no era desconocida para el afectado, ya familiarizado con las malas prácticas de algunos hoteles que cancelaron sus reservas injustificadamente para luego ponerlas a la venta a precios más altos.
Esto generó una falsa sensación de confianza, llevándolo a hacer clic en el enlace proporcionado en el mensaje, que le redirigió a una página de pago aparentemente legítima y perteneciente a Booking.com: estéticamente, contenía todos los elementos visuales que uno esperaría en la misma.
De modo que, sin pensarlo dos veces, nuestro protagonista ingresó todos los datos de su tarjeta de crédito y procedió con la transacción. Sin embargo, la historia pudo dar un giro inesperado gracias a la intervención de su banco.
Banco al rescate. Y lío en el chat de Booking
Y es que la entidad financiera detectó la transacción fraudulenta y la paralizó, notificándoselo mediante un SMS:
"Ojo, que yo les llamé para decirles que todo estaba ok, que era un pago de Booking. Pero resulta que me dijeron que era un pago de más de 2600€ (más de lo que supuestamente era) a un banco de NIGERIA!".
Con la transacción bloqueada y un creciente sentimiento de alarma, el afectado se comunicó de inmediato con Booking.com, donde confirmaron que no se requería ningún pago adicional y se comprometieron a contactar al hotel en cuestión.
Mientras tanto, en la pasarela de pago falsa, alguien interactuaba con él a través de un chat que parecía ser de Booking.com y continuaba presionándolo para que aceptara el pago fraudulento.
Paralelamente, en la propia app móvil de Booking (la verdadera) alguien le estaba mandando también mensajes en inglés para animarle a contactar con su banco para dar el visto bueno a la transacción…
…pero, al rato, y mediante el mismo chat, recibió mensajes —esta vez en sueco, idioma del hotel— en el que se le pedía que ignorase todos los mensajes anteriores.
"Un pequeño susto, pero es muy fuerte que se cuelen en las propias aplicaciones suplantando perfiles. Con la URL estaba claro que era un phishing como una casa, pero al ser desde booking no me fijé".
No es un caso aislado
Al mismo tiempo que @ChicoToxico relataba su experiencia en Twitter, ElDiario.es desvelaba un caso similar sufrido por otro turista español, también con Booking de por medio.
Adrián, un profesional del sector tecnológico, cayó en la trampa a pesar de sus conocimientos en cuestiones de seguridad digital y de haber recibido formación en el tema, aunque por fortuna a él sólo le costó 319 euros. Adrián compartió su experiencia en redes sociales, donde otros usuarios revelaron que habían sufrido la misma estafa.
¿Dónde radica el problema?
La compañía Booking, al ser contactada sobre esta situación, admitió estar enfrentando una ola de estafas que involucran la suplantación de identidad de los hoteles registrados en su plataforma.
Aclararon que sus sistemas no han sufrido vulnerabilidades ni accesos no autorizados, pero el problema radica en que los hoteles están siendo hackeados para suplantar su identidad y llevar a cabo estafas contra los usuarios. Estos estafadores envían mensajes fraudulentos desde las cuentas oficiales de los alojamientos, lo que hace que la suplantación sea casi perfecta.
Lo preocupante de los hackeos a hoteles asociados con Booking es que inutilizan la habitual recomendación de usar sólo canales oficiales para contactar con empresas o instituciones. En este caso, los atacantes envían mensajes desde las cuentas oficiales de los hoteles, lo que hace que sea difícil para los usuarios discernir la autenticidad del mensaje.
Eso sí, incluso después de suplantar a los hoteles en Booking, los estafadores intentan redirigir a los clientes a 'pasarelas de pago' falsas fuera del sistema de la app. Por ello, aconseja a sus clientes realizar transacciones sólo a través de su plataforma oficial y ofrece orientación y formación a los hoteles para prevenir que sean víctimas de ciberdelincuentes.
La lección clave aquí es la necesidad de mantenerse alerta cuando estamos online y nunca confiar ciegamente en los mensajes o enlaces, incluso si provienen de plataformas aparentemente fiables. Siempre es recomendable llamar a la empresa directamente y confirmar la autenticidad de los mensajes antes de hacer clic en cualquier enlace.
Imagen | CCNull
En Xataka | Ojo con dar tu tarjeta de crédito al hacer una reserva: qué peligros tiene y alternativas más seguras