El pasado verano una oleada de ciberataques azotó a hoteles de todo el mundo. Su objetivo eran los usuarios de Booking. Los ciberestafadores aprovecharon el bajo nivel de ciberseguridad de estos establecimientos para conseguir acceso a sus sistemas y a la plataforma de reserva, desde la cual contactaban sus clientes y los atacaban suplantando al hotel. Es una práctica que Booking teme que vuelva a darse este verano y que la Agencia Española de Protección de Datos (AEPD) ya ha empezado a sancionar.
En una reciente resolución, el regulador de privacidad ha multado con 7.000 euros a uno de los hoteles que permitieron que los cibertimadores lo utilizaran como trampolín para atacar a los usuarios de Booking. La AEPD considera que el establecimiento, localizado en Bilbao y perteneciente a la cadena Pillow Hotels, falló al proteger los datos personales de la reclamante y ocultó la brecha de seguridad a los reguladores y a los propios afectados.
En este caso la víctima recibió “un mensaje de WhatsApp en el que una persona que se identificaba como directora del hotel se dirigía a ella por su nombre y apellidos y le pedía la confirmación de la reserva, facilitándole un enlace fraudulento para que introdujera los datos de su tarjeta, cosa que no hizo”, reza la resolución. Era fruto de un robo de información que había sustraído datos como el nombre, DNI, número de teléfono, email, número y fecha de la reserva de sus próximos clientes.
El contacto por WhatsApp es uno de los métodos más habituales en los que los autores de los ciberataques contra hoteles intentan aprovechar los datos personales que les roban. También pueden intentar una comunicación a través de la propia app de Booking haciéndose pasar por el establecimiento, en caso de que su ataque lograra sustraer también las claves de acceso a la plataforma.
Booking ha reconocido la situación en su comunicación con la AEPD y en una respuesta a elDiario.es, explicando cómo se produce la brecha en los hoteles. “Los atacantes envían un enlace de phishing con la solicitud de hacer clic en él. Booking.com tiene conocimiento de que algunos proveedores de alojamiento hicieron clic en este enlace y descargaron un archivo malicioso que infectó su dispositivo con malware. Este malware permitió a los atacantes acceder al ordenador del proveedor de alojamiento”, informa al regulador de la privacidad.
Sin notificación
La ley de protección de datos obliga a las empresas que son víctimas de un ciberataque a comunicarlo a sus clientes en un intento de aumentar su perspectiva crítica ante una suplantación de identidad de este tipo. La falta de comunicación de muchos hoteles deja a los inquilinos expuestos, ya que los estafadores suelen lanzar el phishing apenas días antes de la reserva, consiguiendo generar una sensación de urgencia que provoca que caigan en la trampa.
En el caso de Pillow Hotels, el responsable del establecimiento denunciado alegó ante la AEPD que solo avisó de la posible brecha a los usuarios de Booking que se pusieron en contacto con ellos para alertar de lo que estaba pasando, ya fuera por teléfono o en la recepción. A estos clientes les comunicaban que “sabían que se había producido la filtración y estaban investigando el origen”.
La investigación del regulador de privacidad ha desvelado que ese mismo hotel sufrió dos brechas de seguridad en 2023. Una en enero, la denunciada, y otra más en agosto, en medio de la campaña de ataques a este tipo de negocios. El método fue el mismo: una vulneración de las contraseñas. No obstante, en el segundo caso el hotel asegura que el ataque llegó a través de Booking y no de sus sistemas. Sin embargo, por las pruebas que ha aportado a la AEPD, esta no ha podido confirmar ese extremo.
Finalmente Pillow Hotels ha aceptado la sanción y ha aprovechado dos reducciones del 20% en la cuantía de la multa. Una por asumir la responsabilidad y otra por pago voluntario de la sanción, con lo que ha terminado abonando 4.200 euros.
Desde Booking explican a elDiario.es que la compañía es “consciente” de las “implicaciones” de este tipo de estafas. “Ofrecemos orientación y formación a nuestros socios, y recordamos periódicamente a los clientes que nunca deben compartir datos personales con ninguno de nuestros socios de alojamiento —nunca solicitarían esta información por correo electrónico, por ejemplo— y que, en su lugar, deben facilitar los pagos a través de nuestra plataforma, donde contamos con procesos de pago seguros y guiados”, asegura un portavoz.
Aumento de las ciberestafas
Según los datos de la Fiscalía, las ciberestafas han aumentado del 500% en los últimos ocho años. En 2023 el global de delitos electrónicos creció un 23% respecto al año anterior. Además la última cadena de robos de información que ha afectado a grandes empresas e instituciones hace que los expertos alerten de que este tipo de phishings vayan a aumentar en los próximos meses, por lo que recomiendan extremar la precaución y estar alerta cuando un tercero se ponga en contacto en nombre de una empresa.
La recomendación ante cualquier sospecha es utilizar siempre los canales oficiales de comunicación de las empresas y desconfiar de avisos sobre problemas en reservas hoteleras, cuentas bancarias o pago de multas que deban solucionarse de inmediato. Inocular esa sensación de urgencia es una táctica habitual de los ciberdelincuentes en los ataques de suplantación de identidad.
En caso de haber proporcionado datos bancarios u otra información relevante en canales que podrían estar operados por estafadores, los expertos piden comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.