Después de hacer una reserva en un albergue a través de Booking, Lucía (nombre ficticio) recibió un mensaje de WhatsApp, supuestamente del departamento de reservas del alojamiento, que indicaba su nombre completo y la fecha en la que reservó su estancia. En el texto aseguraban que tenía que confirmar los detalles de su reserva en un plazo de 24 horas porque si no lo hacía, sería cancelada. La plataforma de reservas explica a Maldita.es que algunos de los “socios” con los que colaboran han sido objetivo de “tácticas de phishing”, lo que ha permitido a los ciberdelincuentes acceder a las cuentas de los hoteles en Booking.
Los timadores hackean las cuentas de los hoteles que colaboran con Booking para intentar engañarte
El mensaje pedía a Lucía ingresar a un enlace con el fin de confirmar y verificar su reserva en un hostal en Miami (Estados Unidos). “No te preocupes, no se cobrará ningún pago”, asegura el texto del mensaje, aunque inmediatamente después le indican que “se puede colocar una retención temporal para la verificación y se liberará de inmediato”.
Al acceder al link aparece una advertencia de “sitio peligroso” que alerta de que “es posible que los atacantes te engañen para que instales software o proporciones información como contraseñas, teléfono o números de la tarjeta de crédito”.
Días antes, esta usuaria hizo otra reserva directamente desde la página web de un hostal ubicado en California (Estados Unidos). En esta ocasión, también recibió un mensaje a través de WhatsApp que alertaba de lo mismo: debía entrar a un enlace para confirmar los detalles de la reserva antes de 24 horas. Ambos mensajes lo firma una supuesta empleada identificada como Emma Larsen del Departamento de Reservas de los distintos alojamientos.
Lucía decidió alertar a este albergue del mensaje que había recibido en su nombre, quienes le aseguraron que parecía “una filtración de un tercero”. Desde el hostal también le señalaron que tienen que compartir la información de las reservas con otros sitios web que utilizan, “como Booking”, para no tener un problema de exceso de reservas.
La plataforma de reservas de alojamiento ha asegurado a Maldita.es que “ni los sistemas ni la infraestructura de backend de Booking.com han sido violados de ninguna manera”. Explican que algunos de sus “socios” de alojamiento “han sido objetivo de tácticas de phishing muy convincentes y sofisticadas” lo que permite que se “cargue malware en sus dispositivos y, en algunos casos, conlleva el acceso no autorizado a sus cuentas de Booking.com”. De esta manera, los ciberdelincuentes intentan suplantar al socio e incluso a Booking para solicitar pagos de los clientes fuera de la plataforma, añaden.
Otros timos relacionados con la plataforma de reservas de alojamiento
En Maldita.es ya os hemos advertido sobre cómo los ciberdelincuentes consiguen hackear las cuentas de las empresas y hoteles que colaboran con Booking para intentar timarte. Por ejemplo, algunos usuarios recibieron correos electrónicos, supuestamente de Booking, en los que el hotel donde habían reservado les pedía comprobar sus datos de pago para la reserva.
Otras personas recibieron un mensaje fraudulento a través del chat de la plataforma del supuesto hotel en el que habían realizado una reserva. En él les pedían hacer clic en un enlace para que introdujesen sus datos personales y los de su tarjeta bancaria, y si no lo hacían su reserva sería supuestamente cancelada. Los timadores estaban accediendo a la cuenta de los hoteles registrados en la plataforma y enviando mensajes a los clientes.
Señales para detectar un intento de phishing
Para saber si estamos frente a un engaño, Booking advierte que los ciberdelincuentes usan una sensación de urgencia “a menudo acompañada de un contexto que parece razonable para convencer a los clientes desprevenidos a proporcionarles información sensible”. La plataforma señala a Maldita.es que, aunque puede bloquear la mayoría de estos intentos, están “apoyando a los socios y clientes afectados según sea necesario”.
En su página web también explican que para detectar un intento de ingeniería social es importante tener en cuenta que los timadores piden cosas “extrañas o inesperadas, se hacen pasar por una persona de confianza, como alguien que trabaja en tu alojamiento o en Booking, y cometen errores porque no saben cómo funcionan los procesos de la plataforma”.
Cómo puedes protegerte y qué hacer si has caído
En caso de recibir mensajes, llamadas o correos electrónicos suplantando a Booking o a sus socios, la plataforma aconseja informarles a través de este enlace y aseguran que nunca pedirán que compartas “tu nombre de usuario, contraseña o el código PIN de la autenticación de dos factores”.
Además, explican que si alguien te pide que modifiques tus datos de contacto o que añadas cuentas de usuario, recomiendan llamar al servicio de atención al cliente de Booking.
Si crees que has sido víctima, la plataforma aconseja restablecer la contraseña de tu cuenta, comprobar si ha cambiado la disponibilidad, las promociones, los datos de contacto o las cuentas de usuario y contactar con Booking.