Recientemente, Microsoft ha emitido la voz de alerta sobre una sofisticada campaña de ‘phishing’ que viene desarrollándose de manera silenciosa y suplanta la identidad de plataformas como Booking.com, y que se encuentra dirigida a profesionales del sector hotelero y de viajes en diversas regiones del mundo, incluyendo algunos países de Europa.
Esta nueva y bastante sofisticada estafa se viene detectando desde diciembre de 2024. Se trata de una modalidad en la que se emplean técnicas de ingeniería social, como la denominada ClickFix, para distribuir malware diseñado para robar credenciales y cometer fraudes financieros, de ahí la alerta emitida por Microsoft.
Ante esta voz de alerta emitida por Microsoft, la plataforma de reservas Booking.com ha reconocido que algunos de sus proveedores de servicios y clientes se han visto afectados por esta campaña, aunque ha asegurado además que sus sistemas internos no han sido comprometidos.
También se ha podido conocer que la compañía está colaborando estrechamente con los afectados para reforzar la seguridad y ha implementado medidas adicionales, como la autenticación de doble factor y advertencias a los usuarios sobre la provisión de información sensible a través de canales no seguros.
Microsoft alerta de cómo los ciberdelincuentes engañan a hoteles y agencias con Booking
Las técnicas utilizadas por los ciberdelincuentes, según los expertos de Microsoft, se han perfeccionado: se trata de una estafa ejecutada con tácticas sofisticadas con las que se hacen pasar por Booking.com, enviando correos electrónicos fraudulentos que parecen legítimos. Mediante técnicas de ‘phishing’ logran que hoteles y agencias de viajes accedan a enlaces maliciosos, donde se les solicita ingresar sus credenciales.
Ahora bien, el problema empieza cuando las víctimas proporcionan estos datos, ya que les ofrecen una vía libre obstáculos a los ciberdelincuentes para acceder a sus cuentas y pueden manipular reservas, modificar precios o incluso desviar pagos a cuentas fraudulentas.
Microsoft ha detectado que esta estafa emplea un malware capaz de registrar las pulsaciones del teclado y extraer información sensible sin que la víctima lo note. La campaña ha afectado a numerosos establecimientos, generando pérdidas económicas y afectando la confianza de los clientes en las plataformas de reserva en línea, siendo Bookink.com una de las más afectadas hasta el momento.
Ante un escenario tan complejo como este, expertos en ciberseguridad de estas empresas advierten que la suplantación de identidad sigue evolucionando y actualmente con técnicas que involucran a la IA, por lo que requieren medidas de protección más estrictas.
Robo de credenciales y fraudes financieros: los riesgos de caer en la trampa
El impacto financiero de este tipo de fraude electrónico en las plataformas de reservas, hoteles y agencias de viajes podría ser importante, no solo con el manejo de la información confidencial, sino a nivel financiero, ya que una vez que los ciberdelincuentes acceden a las plataformas, pueden modificar la información de pago y desviar depósitos importantes de clientes a cuentas propias.
Para los expertos en ciberseguridad, la gravedad en esta modalidad de fraudes, es que en algunos casos, las víctimas, en este caso las agencias y hoteles, no se percatan de lo que está ocurriendo hasta que los viajeros llegan a su destino y descubren que su reserva no existe o que el pago no ha sido procesado correctamente, afectando no solo la estabilidad financiera del hotel o agencia de viajes, sino el disfrute de los usuarios.
Además, el riesgo que existe en la utilización de los datos robados para realizar nuevas estafas es grande, según los expertos en ciberseguridad. Microsoft ha identificado que este tipo de campañas pueden extenderse a otros servicios de viajes, lo que incrementa el riesgo para toda la industria. Por ello, es crucial que los afectados actúen con rapidez para mitigar las consecuencias y evitar una mayor propagación del fraude.
Medidas de seguridad: cómo protegerse ante esta amenaza creciente
Existen muchas formas de evitar este tipo de fraudes electrónicos, pero la mejor forma de evitar ser víctima de estas estafas, según los expertos, y en el caso específico de plataformas como Booking.com, es implementando la famosa autenticación en dos pasos e incluso extender estas medidas de seguridad a hoteles y agencias de viajes.
Los expertos de Microsoft también han indicado la importancia de la verificación de los correos electrónicos recibidos, fijarse en los cambios de direcciones o solicitudes “inusuales” de información. Ante cualquier duda, es preferible contactar directamente con la plataforma a través de sus canales oficiales.
La prevención a través de la formación del personal podría marcar una diferencia, los expertos aconsejan capacitar al personal de hoteles y agencias sobre los riesgos del phishing y el malware. La detección temprana de correos sospechosos y el uso de herramientas de seguridad avanzadas pueden marcar la diferencia entre frustrar un ataque y sufrir pérdidas económicas.
Finalmente, los expertos de Microsoft insisten en que la prevención es la mejor defensa y que una mayor concienciación sobre este tipo de fraudes puede reducir su impacto en el sector turístico, desafortunadamente, las técnicas utilizadas actualmente por los ciberdelincuentes para realizar este tipo de fraudes son bastante sofisticadas, ya que se encuentra involucrada la IA.
