Booking, el popular portal de reservas de hoteles, está siendo el gancho perfecto para que los ciberdelincuentes puedan estafar a los usuarios a través de campañas de phishing en las que se hacen pasar por el alojamiento con el objetivo de robar información personal y datos bancarios de aquellos que han hecho una reserva previamente.
No es la propia Booking quien ha sufrido una vulnerabilidad, sino que muchos de los hoteles registrados en la plataforma están siendo hackeados por parte de ciberdelincuentes. Estos acceden a la base de datos de los alojamientos para hacerse con la información personal de aquellos que han reservado una habitación, como puede ser el número de teléfono o la dirección de correo electrónico.
Después, suplantan la identidad del hotel y envían un mensaje o email al huésped haciéndose pasar por el servicio de atención al cliente de Booking y detallando que ha habido un problema en la reserva y que necesita confirmar sus datos o realizar el pago para que esta quede asegurada. Según algunas víctimas, el correo llega con una interfaz muy similar a la web de Booking, y con una URL muy parecida.
Además, y si bien en la mayoría de casos los usuarios ya han realizado el pago, el mensaje da a entender que la compra no se ha completado correctamente, y que deben abonar la cantidad antes de que el alojamiento cancele la reserva.
“Estimado huésped, queremos informarle de que nuestros sistemas han detectado que su tarjeta de crédito ha sido marcada como inválida/inactiva, por lo que le hemos enviado una página personalizada para que confirme sus datos. Este correo se ha enviado a tu dirección de correo electrónico. Si ignora este mensaje, nos veremos obligados a cancelar la reserva”.
Se puede leer en uno de los emails fraudulentos enviados a algunos clientes de Booking.
Ni Booking ni los hoteles se hacen responsables
Booking ha confirmado a elDiario.es que su plataforma no ha sufrido ningún tipo de ciberataque, y que el problema está en que los ciberdelincuentes están accediendo a las bases de datos de los hoteles para robar los datos de las reservas y poder contactar con los usuarios.
Los hoteles, sin embargo, no se están haciendo responsables y están negando a devolver el dinero a los usuarios que han caído en la estafa. “Nunca le cobraremos dos veces el coste del alojamiento pagado por adelantado. Los correos electrónicos solicitando el pago son fraudulentos y no pueden ser reembolsados”, detalla uno de los hoteles después de que un cliente reclamara haber sido víctima de una campaña de phishing.
En cualquier caso, hay una serie de pautas que los usuarios deben seguir para evitar caer en este tipo de campañas. Una de ellas es comprobar la dirección de correo electrónico de ese mail, así como el enlace. También, en caso de dudas, contactar con el alojamiento.