Los ciberataques dirigidos a hoteles y clientes a través de Booking.com se han intensificado en plena temporada alta, según alerta Check Point Software Technologies Ltd., proveedor de soluciones de ciberseguridad en la nube basadas en inteligencia artificial.
El nuevo patrón de fraude detectado implica la suplantación de la comunicación oficial entre hoteles y clientes dentro de la propia plataforma, lo que eleva el nivel de peligrosidad del ataque y dificulta su detección por parte del usuario.
Así actúan los estafadores: acceso a reservas reales y mensajes convincentes
Según Check Point, los ciberdelincuentes logran acceder a las cuentas legítimas de los hoteles en Booking.com tras infectar sus sistemas y robar sus credenciales. Una vez dentro, consultan las reservas activas y envían mensajes personalizados desde el sistema oficial, solicitando al cliente el pago anticipado de la estancia para evitar la cancelación de la reserva.
El mensaje incluye un enlace que redirige a una página falsa que simula a la perfección la interfaz de Booking, incluyendo incluso un falso sistema de atención al cliente, lo que dificulta aún más que los usuarios detecten el fraude.
“Estos ataques combinan ingeniería social, suplantación de identidad y tecnologías de IA generativa para construir un entorno completamente creíble. El canal parece oficial, el lenguaje está bien construido y el momento es crítico: pocos días antes del check-in”, explica Rafael López, ingeniero de seguridad en Check Point Software.
Un entorno digital propenso a estafas en temporada alta
La firma de ciberseguridad recuerda que ya en mayo de 2025 detectó más de 39.000 nuevos dominios relacionados con vacaciones, de los cuales 1 de cada 21 era malicioso o sospechoso. Estos sitios son utilizados para campañas de phishing y suplantación de identidad, muchas veces vinculadas a plataformas como Booking.com, Airbnb o portales de alquiler de vehículos.
Check Point señala que los hoteles están en el centro del problema, ya que los atacantes acceden a sus sistemas para después manipular la comunicación oficial con el cliente. Esto convierte a los establecimientos en víctimas y, a la vez, en vectores involuntarios del fraude.
¿Cómo detectar el fraude y protegerse?
Check Point Research recuerda da algunas claves para detectar estafas, incluso si el mensaje parece oficial:
- Reservar únicamente desde fuentes oficiales: es preferible escribir manualmente la dirección del sitio web o utilizar aplicaciones confiables, evitando hacer clic en enlaces recibidos por correo electrónico o mensajes.
- Verificar cuidadosamente las URLs: es importante comprobar que no contengan errores ortográficos ni terminaciones de dominio inusuales (como .today o .info), que suelen asociarse a sitios fraudulentos.
- Activar la autenticación multifactor (MFA): esta medida añade una capa extra de seguridad, incluso si las credenciales de acceso se ven comprometidas.
- Evitar el uso de redes Wi-Fi públicas no seguras: siempre que se acceda a información sensible —como cuentas bancarias o portales de reservas— se recomienda utilizar una red privada virtual (VPN).
- Instalar soluciones de seguridad en los dispositivos: la protección integral en móviles y ordenadores permite detectar intentos de phishing y bloquear descargas maliciosas en tiempo real.
