Japón, principios de septiembre. Adrián, un turista español, está visitando varios destinos en el país cuando recibe un mensaje a través de la app oficial de Booking. Lo envía el hotel de Kioto donde se hospedará tres días después. El alojamiento le informaba de un error en la reserva. “Se indicaba que había habido un problema con mi tarjeta de crédito y que por favor me refiriera a un email que me habían enviado para proceder al pago, de lo contrario, mi reserva sería cancelada”, cuenta Adrián.
Puede que a muchos no les haga falta más para saber cómo termina esta historia. Adrián fue víctima de un phishing. Se ha puesto en contacto con elDiario.es para advertir de que es fácil que esta campaña pille al usuario con la guardia baja. “Soy una persona que trabaja en el sector tecnológico, por lo que me considero conocedor de estas artimañas. Asimismo he recibido formaciones diversas sobre el tema por lo que nunca pensé que me pasaría a mí”, expone: “Me pilló viajando sin un buen acceso a internet ni al teléfono, así que procedí a hacer lo que se me indicaba”.
“En efecto había recibido un mail que parecía de Booking, y como previamente había recibido ese mensaje dentro de su propia aplicación, no lo puse en duda. Justo un momento después de introducir los datos de pago y viendo el cargo en mi tarjeta me di cuenta de que había sido un timo”, lamenta.
Adrián perdió 319 euros en esta nueva variante de phishing. Ha compartido el caso en redes sociales y sus contactos han reconocido haber sufrido la misma estafa, con los cibercriminales llegando a sustraerles 1.500 euros. Alertas similares se reproducen por todo el mundo, con diferentes variantes: a veces los timadores mandan el enlace fraudulento a través de la propia app de Booking, mientras que otras avisan del envío de un email trampa.
elDiario.es ha preguntado por esta situación a Booking, que ha reconocido que está sufriendo una oleada de estafas que suplantan la identidad de los hoteles dados de alta en su plataforma. “Por desgracia, recientemente hemos detectado un aumento de los ciberdelincuentes que atacan a nuestros socios”, admiten fuentes de la compañía.
Hackeos contra hoteles para acceder a la app de Booking
Desde Booking recalcan que sus sistemas no han sufrido ninguna vulnerabilidad ni acceso no consentido. El problema está en otra parte de la cadena: son los hoteles registrados en la plataforma los que están sufriendo hackeos que tienen como objetivo suplantar su identidad para estafar a los usuarios. Una suplantación perfecta, ya que los mensajes fraudulentos se mandan desde la misma cuenta oficial del alojamiento.
“Se trata de un esfuerzo coordinado de los atacantes para cometer fraude tanto contra los huéspedes como contra los socios”, explican desde Booking. “Estos estafadores obtienen entonces las direcciones de correo electrónico y los números de teléfono móvil de los clientes, lo que a su vez les permite pedirles que compartan los datos de sus tarjetas de crédito para realizar pagos fraudulentos”, detallan.
Estos estafadores obtienen las direcciones de correo electrónico y los números de teléfono móvil de los clientes, lo que les permite pedirles los datos de sus tarjetas de crédito
En el caso de Adrián, el hotel se ha negado a reembolsarle el dinero que le han estafado. “Nunca le cobraremos dos veces el coste del alojamiento pagado por adelantado. Los correos electrónicos solicitando el pago son fraudulentos y no pueden ser reembolsados”, alega el establecimiento. “Póngase en contacto con la compañía de la tarjeta de crédito o con el banco donde realizó el pago”, recomiendan.
La negativa del hotel se produce pese a que la cadena le envió hasta dos veces el timo, incluso después de que Adrián les avisara de que habían sido atacados. “Dado lo que pasó, al día siguiente cancelé mi reserva con ese hotel y reservé otro porque no me fiaba”, revela: “sin darme cuenta este nuevo hotel que reservé resulta que era de la misma cadena que el inicial, y sorpresa, me llegó el mismo mensaje fraudulento. Obviamente no caí esta vez. Yo había avisado a Booking y al hotel el día anterior y aún así me pasó esto el día siguiente”.
Punto débil: vacaciones
En medio de un viaje, la amenaza de quedarse sin alojamiento a pocos días de llegar y no poder encontrar otro se vuelve muy real. Es el punto clave en todos los intentos de phishing, sin importar a qué empresa o institución intenten suplantar: la sensación de urgencia. Todos y cada uno de los ciberdelincuentes intentarán transmitir a la víctima que es importante que reaccione sin perder un minuto.
Los ejemplos son múltiples, desde el clásico problema con la cuenta bancaria (en el que los estafadores llegan incluso a suplantar el número de teléfono oficial de la entidad), pasando por el hijo en apuros, la cuenta de Netflix suspendida o la multa de circulación sin pagar. En todos ellos los atacantes consiguen saltarse las defensas de sus objetivos generando la impresión de que hay que actuar de inmediato, incluso de las personas que han estudiado cómo funcionan estas estafas. Por ello, el único método infalible para evitarlas es mantener la cabeza fría y cerciorarse a conciencia de que el problema de verdad existe.
Los hackeos contra los hoteles socios de Booking refinan aún más los intentos de phishing ya que anulan la otra variante que recomiendan los organismos de ciberseguridad: utilizar siempre los canales oficiales para contactar con las empresas o instituciones, no aquellos que ofrecen los ciberdelincuentes. Sin embargo, sí reproduce otra práctica que las empresas nunca suelen emplear: solicitar datos o pagos fuera del proceso de contratación de un servicio.
“Recordamos periódicamente a los clientes que ninguna transacción legítima requerirá que proporcionen los datos de su tarjeta de crédito por teléfono, mensaje de texto o correo electrónico y que, en su lugar, deben facilitar los pagos a través de nuestra plataforma, donde contamos con procesos de pago seguros y guiados”, alegan desde Booking. La compañía asegura que también ofrece “orientación y formación” a los hoteles para impedir que se conviertan en correas de transmisión para los ciberdelincuentes.
En caso de haber proporcionado datos bancarios u otra información relevante en canales que podrían estar operados por estafadores, la recomendación de las autoridades es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.
Apúntate aquí al boletín de economía
En un momento convulso para las noticias de economía, es más importante que nunca estar bien informado. Las repercusiones de cada movimiento de empresas, de la política económica de los gobiernos y su impacto en los ciudadanos, explicadas desde un punto de vista riguroso y diferente.