Experto en seguridad alerta de la nueva estafa en Booking: "Utilizan la mensajería interna de la plataforma para contactar con los viajeros ya confirmados"
Desde Check Point Software confirman el 'modus operandi' de estafa estafa en Booking, incluso desde mensajes internos que parece legítimos en la plataforma.
Las estafas están a lo orden del día y, con el perfeccionamiento de las técnicas, los ciberdelincuentes ahora son capaces de usar plataformas legítimas para robar datos personales de usuarios y vaciar sus cuentas bancarias.
Los últimos datos de los que tiene constancia el Ministerio del Interior del Gobierno de España, tan solo llegan hasta 2023, aunque muestran un espectacular crecimiento de la cibercriminalidad desde el año 2011.
Mientras que en dicho año los datos sumaban 37.458 cibercrímenes, en 2023 estos ya se sitúan en 472.125, con una curva preocupante de crecimiento que no para de incrementarse año tras año.
Con la llegada de la temporada estival, en la que muchos consumidores deciden reservar sus vacaciones en plataformas como Booking, los cibercriminales activan sus mecanismos para comenzar la estafa, algo que puede pasar factura indudablemente al período de descanso.
Check Point Software, compañía especializada en ciberseguridad, precisamente alerta de lo que está ocurriendo en Booking, comprometiendo no solo a alojamientos registrados, sino también a los usuarios finales.
Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software, explica a Computer Hoy cómo funciona esta estafa, qué deberíamos tener en cuenta y cómo protegerse ante ella.
Cómo funciona la estafa de Booking
Todo comienza con un simple correo electrónico que parece legítimo y que afecta, en primer lugar, a quienes han registrado su alojamiento en Booking; es decir, una campaña habitual de phishing.
"En estas campañas, los atacantes envían correos maliciosos que simulan provenir de huéspedes —por ejemplo, solicitando ayuda para recuperar un objeto perdido— e incluyen enlaces que redirigen a páginas falsas que imitan el inicio de sesión de Booking", expresa el experto en seguridad.
Una vez que el alojamiento ha caído en la trampa, al introducir sus datos en estos sitios falsos, los ciberdelincuentes roban los datos del propietario para hacerse con el control de la cuenta legítima. Según concreta López, en algunos casos incluso se han detectado falsos ReCAPTCHA, con el objetivo de ejectuar comandos maliciosos.
A partir de aquí, el propietario del alojamiento podría ser víctima mediante la instalación de un troyano de acceso remoto –RAT, por sus siglas en inglés– como AsyncRAT o cualquiera de las variantes de malware dedicados a robar información.
Tras haber conseguido la cuenta del alojamiento, comienza la estafa en la otra parte, en los viajeros ya confirmados en Booking.
"Les envían mensajes solicitando pagos adicionales, verificación de datos o incluso un segundo pago por motivos de seguridad", continúa López. "Estos mensajes son especialmente creíbles porque provienen de cuentas auténticas, ya verificadas por Booking, y además utilizan el mismo canal oficial de comunicación".
Una técnica que, por supuesto, se perfecciona gracias al uso de logotipos, estilos visuales y lenguaje persuasivo generado con herramientas de inteligencia artificial. Aunque ningún ataque es perfecto, y existen diferentes señales de alerta que deberías tener en cuenta, como las siguientes:
- Enlaces que redirigen a dominios sospechosos. Aquí hay que fijarse muy bien en las extensiones del dominio, además de errores ortotipográficos.
- Urgencia y presión para tomar decisiones rápidamente. Si ves algún mensaje con un límite de tiempo, como 10 minutos, para actuar sin pensar, ya que de lo contrario se cancelará la reserva.
- Instrucciones inusuales. Conviene vigilar siempre qué archivos se descargan, además de revisar muy bien las combinaciones de teclas introducidas.
- Pagos adicionales. Hay que tener cuidado con las solicitudes de cantidades extras de dinero fuera de la plataforma, como enlaces o transferencias en otros sitios.
"Incluso si el mensaje llega desde Booking, si contiene alguna de estas señales, se debe sospechar de su autenticidad", añade López, aunque también añade algunas recomendaciones para protegernos.
Qué pueden hacer los usuarios de Booking para protegerse
Aunque las técnicas haya alcanzado niveles sin igual, aún existen varias recomendaciones tanto para hoteles, como para clientes y la misma Booking.
En primer lugar, desde Check Point Software se recomienda a los hoteles que activen la autenticación en varios factores en las cuentas de la plataforma; de esta forma, si hay un intento de acceso no legítimo, será más difícil robar la cuenta, incluso con las credenciales ya filtradas.
Además de esto, los hoteles no tendrían que pinchar en enlaces, incluso si parecen de clientes, a lo que se suma la instalación de soluciones de seguridad para detectar malware e intentos de phishing, algo esencial.
En segundo lugar, el experto en seguridad aconseja a los clientes que no realicen pagos fuera de la plataforma ni hagan clic en ningún enlace para realizar acciones importantes como pagos o formularios con datos personales, incluso si el dominio se parece el legítimo de Booking.
Lo mejor en estos casos es contactar directamente con el alojamiento por teléfono, ya que mediante la plataforma podría ser el cibiercriminal quien esté al otro lado.
Por último, López también apela a que Booking refuerce sus sistemas de autenticación, aplique IA para detectar patrones de comportamiento sospechosos y mejore sus sistemas de alerta y bloqueo ante acceso no autorizados.
"En resumen, este modelo de ataque destaca por su sofisticación y por aprovechar la confianza que los usuarios depositan en plataformas reconocidas", concluye el experto de Check Point Software.