Síguenos en redes sociales:

¡Ojo si te escriben por WhatsApp fingiendo ser el hotel que has reservado en Booking!

Los estafadores acceden a datos reales de reservas y crean mensajes urgentes para que confirmes tu estancia y acabes entregando información personal o bancaria

Loreto Iriarte/ NTM/Maldita.es

03·02·26 | 16:00 | Actualizado a las 19:01

¡Ojo si te escriben por WhatsApp fingiendo ser el hotel que has reservado en Booking!

Los ciberdelincuentes están utilizando datos reales de reservas para intentar estafar a viajeros haciéndose pasar por alojamientos reservados a través de Booking. El engaño llega, en muchos casos, a través de WhatsApp y utiliza información verídica como el nombre completo del cliente o las fechas de la reserva con el fin de resultar más creíble.

Reserva mediante Booking

Maldita.es recoge el caso de Lucía (nombre ficticio) quien, tras reservar un albergue mediante Booking, recibió un mensaje de WhatsApp supuestamente enviado por el departamento de reservas del alojamiento.

En el texto aparecían su nombre completo y la fecha exacta de su estancia, y se le advertía de que debía confirmar los detalles de la reserva en un plazo de 24 horas o, si no, esta sería cancelada.

Captura del mensaje de WhatsApp recibido por la usuaria.

Según explica Booking a Maldita.es, algunos de los "socios" con los que colaboran han sidoobjetivo de "tácticas de phishing", lo que ha permitido a los timadores acceder a las cuentas de los hoteles dentro de la plataforma.

En el caso de Lucía, el mensaje incluía un enlace para confirmar y verificar su reserva en un hostal de Miami (Estados Unidos). El texto aseguraba que no se realizaría ningún cobro, aunque añadía que "se puede colocar una retención temporal para la verificación y se liberará de inmediato". Al acceder al enlace, apareció una advertencia de "sitio peligroso" que alertaba de que los atacantes podían intentar engañar al usuario para que instalara software malicioso o proporcionara información sensible como contraseñas, número de teléfono o datos de la tarjeta bancaria.

Reserva en la web del hostal

Días antes, Lucía había hecho otra reserva, esta vez directamente desde la página web de un hostal en California (EEUU). De nuevo recibió un WhatsApp con un mensaje muy similar en el que se le urgía a acceder a un enlace y confirmar los detalles de la reserva en un plazo de 24 horas. Ambos mensajes estaban firmados por una supuesta empleada llamada Emma Larsen, del Departamento de Reservas de los distintos alojamientos.

Lucía decidió avisar al hostal del mensaje recibido en su nombre y desde el alojamiento le indicaron que parecía tratarse de "una filtración de un tercero". Explicaron que comparten información de las reservas con otras plataformas que utilizan, como Booking, para evitar problemas de exceso de reservas.

Un hombre reserva una habitación de hotel a través de Booking.

Phishing muy sofisticado

Booking ha asegurado a Maldita.es que "ni los sistemas ni la infraestructura de backend de Booking.com han sido violados de ninguna manera". Sin embargo, señalan que algunos de sus socios de alojamiento sí han sido objetivo de ataques de phishing "muy convincentes y sofisticados", que permiten a los ciberdelincuentes cargar malware en sus dispositivos y, en algunos casos, acceder de forma no autorizada a sus cuentas de Booking. A partir de ahí, los timadores intentan suplantar al alojamiento o incluso a la propia plataforma para solicitar pagos fuera de Booking.

Otros timos

Este tipo de fraude no es nuevo y en Maldita.es ya se ha advertido de otros timos relacionados con la plataforma. Es el caso de correos electrónicos en los que supuestamente Booking pedía comprobar los datos de pago de una reserva o de mensajes fraudulentos enviados desde el chat de la plataforma del supuesto hotel, en los que se solicitaban datos personales y bancarios bajo la amenaza de cancelar la reserva.

Para detectar estos engaños, Booking explica que los timadores suelen crear una sensación de urgencia y utilizar un contexto aparentemente razonable para convencer a los usuarios de que faciliten información sensible. También advierten de que los mensajes suelen pedir cosas inesperadas, suplantan a personas de confianza y contienen errores sobre el funcionamiento real de la plataforma.

Cómo actuar si has caído en la trampa

Si recibes mensajes, llamadas o correos electrónicos suplantando a Booking o a sus socios, la plataforma recomienda informar del caso y recuerda que nunca te van a solicitar el nombre de usuario, la contraseña o el código PIN de la autenticación en dos factores. Si crees que has sido víctima, aconseja también restablecer la contraseña, revisar cambios en la cuenta y contactar con Booking.