Oleada de estafas en Booking: consejos para evitar fraudes al reservar tu alojamiento en vacaciones

Las ciberestafas son cada vez más complejas y difícil de detectar por el ciudadano común. En muchas ocasiones los ciberdelincuentes se hacen pasar, de forma muy creíble, por páginas web o plataformas reconocidas y confiables. Al menos, en apariencia. Es lo que le ha sucedido a la familia de Alazne, una portugaluja que ha perdido 590 euros en una estafa al contratar un alojamiento supuestamente ofertado por Booking en Madrid.

El proceso de reserva llevaba hasta un enlace a la inmobiliaria que presuntamente alquilaba la vivienda vacacional. La víctima se puso en contacto con los responsables de la inmobiliaria, que le informaron sobre el procedimiento para abonar el dinero: tras recibir una «invitación» para formalizar el pago, debía realizar una transferencia a una cuenta bancaria.

Alazne pagó, pero ella y su familia se encontraron con que la vivienda ya estaba reservada por la inmobiliaria real que la alquilaba. Esta situación no es nueva. En los últimos meses se han reportado varios casos de suplantación de identidad web ('phishing') de Booking, y con distintos procedimientos.

En marzo del pasado año, el Instituto Nacional de Ciberseguridad (Incibe), informaba de una campaña -dirigida a trabajadores de empresas que probablemente hubieran sido víctimas de un fraude anterior- en la que los delincuentes utilizaban la técnica del Browser in the Browser (BitB): a través de ventanas emergentes maliciosas, intentaban robar las credenciales (nombres de usuario y contraseñas, normalmente) del usuario.

En estos casos, si se han facilitado este tipo de datos sensibles en alguna de esas ventanas, hay que cambiarlos inmediatamente «y activar un doble factor de autenticación el en gestor del correo» electrónico. Si se usan esas mismas credenciales en otro servicio, se recomienda «modificarlas también lo antes posible».

«Al tratarse de un ataque dirigido podemos contrastar la información contenida en el cuerpo del mensaje, como el nombre del hotel, el precio o la localidad donde se encuentra, para asegurar que no se trata de una reserva real», destacan en el instituto de ciberseguridad.

En otros casos, reportados a finales del pasado año, los ladrones 'hackean' el sistema de Booking para hacerse pasar por el hotel o vivienda que se pretende reservar. Es lo que explican en la cuenta de Tik Tok del blog 'Fiscalidad para todos'. Normalmente los pagos en Booking se suelen realizar a la llegada al alojamiento, o una vez finalizada la instancia.

Sin embargo, los delincuentes envían a la víctima, escasos días antes de la fecha de su llegada, un enlace desde la aplicación de la plataforma en el que se le informa de un supuesto error en el pago, y que debe abonar la cantidad correspondiente antes de hospedarse. «Y si entras y pagas, ya te la han liado», advierten.

Hay más modalidades de estafa, también dentro de la popular plataforma. Una de ellas consiste en que, tras realizar una reserva, la víctima recibe uno o más correos electrónicos en los que se le apremia a confirmar los datos de la tarjeta bancaria para no cancelar la operación.

El email adjunta una dirección URL falsa que no tiene relación con la oficial de Booking (booking.com), a través de la que roban los datos del usuario. Según indica la propia plataforma en su página web, con los intentos de 'phishing' se suelen robar sobre todo datos de reservas de clientes, información personal de empleados y clientes, de las tarjetas de crédito, y dinero.

«Los estafadores pueden intentar replicar nuestros emails para conseguir así hacerse con el control de tu cuenta», explica. Estos correos electrónicos suelen llevar a una página web «muy similar» a la de inicio de sesión en la plataforma. «Pero si miras la URL de la barra de direcciones, verás que hay diferencias», añaden en Booking, e instan a «informar de estos emails en cuanto los veas».

La plataforma de reserva de alojamientos vacaciones ofrece una serie de pistas que pueden hacernos sospechar:

-Urgencia en el lenguaje: suelen crear una falsa sensación de urgencia, bajo amenaza de, por ejemplo, suspender la cuenta. O un email urgente sobre la situación financiera de la víctima. «Los estafadores siempre adaptarán sus técnicas para que sus emails de 'phising' parezcan lo más reales posibles».

-Errores y fallos. Aunque cada vez son más sofisticados, los correos electrónicos fraudulentos tienen muchas veces errores ortográficos o de gramática. «También suelen estar escritos parcial o totalmente en un idioma que no es el tuyo».

Para comprobar el remitente real del email, hay que consultar el campo 'De' en en el mensaje, o verificar el remitente que aparece entre los símbolos '<' y '>'. «Los emails de Booking.com siempre deben proceder de una cuenta que acabe en @booking.com, independientemente del subdominio».

Y ponen como ejemplo: «una dirección como 'support@booking-103266.com' no pertenece» a la compañía, y con casi toda seguridad, es maliciosa. «No respondas a esos emails. En su lugar, márcalos como 'spam'».

• Temas
• Audiencias
• Timos y estafas