Escrito por: Jerónimo Corregido
La estafa en reservas hoteleras consiste en la suplantación de la identidad de una empresa de turismo para realizar ataques personalizados contra los clientes. Normalmente representa un mensaje en el que se indica que hubo algún problema con la reserva. Mediante un link se deriva a la víctima a una página insegura.
Llega el verano y crece el riesgo de la estafa en reservas hoteleras.
Cómo funciona la estafa en reservas hoteleras
La temporada alta de turismo es uno de los momentos de mayor incidencia de lo que se conoce como Reservation Hijack Scam. Se trata de una estafa con reservas hoteleras, que busca suplantar la identidad de una empresa para quedarse con los datos bancarios de sus clientes.
El proceso es más complejo de lo que parece. Los delincuentes no roban la información directamente desde las plataformas hoteleras, sino que obligan a las víctimas a entregarlas por sí mismas. Para ello, el primer paso es el acopio de materia prima, es decir, datos que puedan ser utilizados.
Así pues, los estafadores atacan los sistemas de empresas de turismo, que pueden ser agentes u hoteles, en función de obtener nombres, referencias e historial de clientes. Otra posibilidad es que la información sea recopilada y vendida en la dark web por especialistas en robo de datos, lo cual implica un paso previo en esta cadena de producción.
A continuación, y utilizando inteligencia artificial, se construyen mensajes verosímiles para ser dirigidos a las víctimas. Las comunicaciones respetan la estética y el tono de la marca a la que suplantan, por lo que resulta muy complicado reconocerlas como una posible estafa.
Los mensajes pueden ser de distinta índole, pero en general acusan algún tipo de error con una reserva existente. El texto está acompañado por un link, que redirige al usuario a una página idéntica a la del proveedor real, aunque, claro está, es una copia. Si la víctima introduce sus datos bancarios allí, los estará poniendo al alcance de los delincuentes.
Este modo de operaciones había estado vinculado con compañías de turismo fraudulentas, que vendían los datos de sus clientes de modo consciente. Sin embargo, hoy en día se ha extendido a las empresas legales, cuyos sistemas son susceptibles de recibir ataques para recopilar información.
Cómo reconocer el phishing en reservas hoteleras
La estafa se encuadra dentro de lo que se conoce como phishing, es decir, la suplantación de la identidad de un tercero para embaucar a una víctima mediante correos electrónicos. O, más técnicamente, se podría hablar de spearphishing, que supone una personalización de la estafa, ya que en este caso los atacantes cuentan con datos específicos del cliente, lo cual les permite afinar su estrategia.
El uso de IA, la réplica casi exacta de los portales originales y la particularización de los mensajes hacen que la estafa en reservas hoteleras sea muy complicada de detectar. En efecto, los delincuentes han minimizado el rango de error, al sofisticar su estrategia al máximo.
Las filtraciones de grandes bases de datos, como la de Booking.com, hacen pensar que este fraude tendrá un alza durante el verano europeo. Se pueden tomar algunos recaudos para prevenir su ocurrencia. Por ejemplo, no ingresar en links enviados desde mensajes de texto o correos electrónicos.
En vez de pinchar en esos vínculos, los especialistas en ciberseguridad recomiendan ingresar manualmente la web de la empresa. Una examinación de la URL que llega con el mensaje puede aclarar la situación. Los estafadores pueden copiar exactamente el diseño de una página, pero no su dominio, que siempre tiene alteraciones.
La prevención también debe extenderse a las empresas de hotelería, ya que las estafas comienzan con una brecha de seguridad en sus sistemas. Aun más: la erradicación de este fenómeno no será posible sin regulaciones estatales que enfrenten el negocio del fraude digital, tanto en su esfera hotelera como en todas las demás.
