María Aperador, experta en ciberseguridad: «Mucho cuidado con esta nueva estafa en Booking»

Las estafas digitales vinculadas a plataformas de viajes han dado un paso más en sofisticación. Una nueva modalidad de fraude está afectando a usuarios con reservas activas en Booking, utilizando datos auténticos para ganarse su confianza y lograr que faciliten información bancaria.

María Aperador, criminóloga y experta en ciberseguridad, ha advertido sobre este procedimiento, que comienza con el hackeo de la cuenta del hotel en la plataforma. Los ciberdelincuentes acceden a las reservas activas y obtienen todos los datos asociados a cada cliente. A partir de ese momento, el engaño se construye sobre información real.

Los estafadores contactan por WhatsApp haciéndose pasar por el hotel. En el mensaje incluyen el nombre completo del cliente, el número de reserva, las fechas exactas de la estancia y el resto de datos personales vinculados a la contratación. «Toda la información es correcta y por eso mucha gente cae», subraya Aperador.

La clave del fraude radica precisamente en ese detalle: no se trata de un mensaje genérico ni de un intento de suplantación. El usuario reconoce sus propios datos y, ante la aparente veracidad, baja la guardia. En paralelo, los delincuentes introducen un elemento de urgencia. Aseguran que la reserva se perderá en un plazo de 24 horas si no se actualizan los datos de pago.

Desconfiar de enlaces en WhatsApp

El siguiente paso consiste en redirigir a la víctima a una página web prácticamente idéntica a la de Booking, pero fraudulenta. Si el usuario introduce allí su información bancaria, esta queda expuesta directamente a los ciberdelincuentes en texto plano.

Ante esta situación, la recomendación es extremar la precaución con cualquier mensaje recibido por WhatsApp que suplante a la plataforma o al establecimiento. En caso de duda, lo más prudente es acceder directamente a la aplicación oficial o a la web escribiendo manualmente la dirección, sin utilizar enlaces externos.

La ciberseguridad, una prioridad para la compañía

Es importante destacar que ni los sistemas ni la infraestructura de backend de Booking.com han sido violados de ninguna manera. Algunos de los socios de alojamiento, lamentablemente, han sido objetivo de tácticas de phishing muy convincentes y sofisticadas, que los animan a hacer clic en enlaces o descargar archivos fuera de nuestro sistema, lo que permite que se cargue malware en sus dispositivos y, en algunos casos, conlleva el acceso no autorizado a sus cuentas de Booking.com.

Estos actores maliciosos luego intentan suplantar al socio (o incluso a Booking.com) de manera muy convincente para solicitar pagos de los clientes fuera de la política especificada en su confirmación de reserva.

Asimismo, desde Booking.com colaboran de forma habitual con organismos del sector y con otras empresas del ámbito de los viajes en línea para intercambiar conocimientos y reforzar la detección de tendencias emergentes y amenazas.