Los cibercriminales están utilizando la reputación y confianza que genera la plataforma Booking.com para llevar a cabo una sofisticada campaña de phishing, y lo realmente preocupante, según han alertado las autoridades, es la proximidad del verano, ya que muchos escogen estas fechas para realizar las reservas. Suplantando correos y páginas oficiales, los delincuentes logran engañar tanto a trabajadores del sector hotelero como a usuarios comunes.
Esta estafa se apoya en técnicas de ingeniería social que simulan urgencia o problemas con reservas para inducir al error. La técnica más reciente, identificada por Microsoft como parte de una campaña atribuida al grupo “Storm-1865”, combina “correos falsos con enlaces maliciosos” (la combinación perfecta)que imitan a la perfección el entorno de Booking y otras plataformas de reservas online, por lo que recomendación es a asegurarnos de realizar reservas en sitios seguros y ante cualquier duda suspender la operación.
Desde falsas reseñas negativas hasta solicitudes de verificación de cuenta, el objetivo es siempre el mismo: “obtener datos personales y bancarios para realizar cargos fraudulentos o vender la información en el mercado negro”.
ClickFix: la trampa que se disfraza de solución
Una de las tácticas más ingeniosas empleadas en esta campaña se llama “ClickFix”, una técnica de ingeniería social que aprovecha la buena fe del usuario para inducirlo a ejecutar comandos peligrosos. Todo comienza cuando el destinatario accede a una supuesta página de Booking.com y se le presenta un CAPTCHA falso (solemos confiar en los captcha cuando aparecen, y he allí el error) que oculta instrucciones maliciosas, de allí la importancia de verificar, una vez que estemos dentro del sitio web de Booking, que efectivamente sea el sitio correcto.
La trampa consiste en convencer al usuario de que debe abrir la ventana Ejecutar de Windows y pegar un comando supuestamente necesario para completar el proceso. Pero en realidad, ese comando descarga y ejecuta malware desde el sistema operativo, utilizando programas legítimos. Al ser una acción iniciada por el usuario, muchas herramientas de seguridad no detectan la amenaza a tiempo, porque se trata de conducir al usuario a la “casa del lobo”, lograr que siga los pasos necesarios para llegar donde se convierta en una pieza “indefensa”.
Malware diseñado para el robo de credenciales y datos financieros
Una vez que el usuario ejecuta el comando, se inicia la descarga de diversos tipos de malware, todos ellos especializados en robar información sensible (después de todo han sido diseñados con este objetivo). Entre los programas detectados están XWorm, VenomRAT, NetSupport RAT y Lumma stealer, todos conocidos por su capacidad de extraer credenciales y datos bancarios desde navegadores y otras aplicaciones.
La estrategia de los atacantes es muy clara: “infectar sistemas dentro del sector hotelero y de viajes para obtener datos de clientes o acceder a cuentas corporativas”. Estos datos pueden ser utilizados para cometer fraudes financieros directamente o vendidos en foros clandestinos (que suele ser la más utilizada actualmente). El impacto potencial es elevado, ya que muchas de estas organizaciones manejan grandes volúmenes de pagos y reservas online.
Los ataques siguen activos y evolucionan constantemente
Lo más alarmante de esta campaña es que, a pesar de haber sido detectada en diciembre de 2024, sigue activa y evolucionando. Storm-1865 ha demostrado una capacidad notable para adaptar sus métodos y saltarse las medidas de seguridad tradicionales. En años anteriores, ya había atacado a usuarios de Booking.com y compradores en plataformas de comercio electrónico, (es una táctica que no solo se limita a plataformas de reserva, sino de ventas online incluso) usando tácticas similares.
Ahora, al incorporar nuevas técnicas como ClickFix, los delincuentes refuerzan su arsenal y hacen más difícil que los sistemas automáticos de detección puedan frenar sus ataques. Las empresas del sector turístico deben permanecer en alerta, ya que los correos maliciosos imitan cada vez mejor a los mensajes auténticos y se distribuyen a gran escala en todo el mundo.
Consejos para detectar y evitar caer en el engaño
Ante una amenaza tan sofisticada, tanto empresas como usuarios deben extremar las precauciones en materia de ciberseguridad. Una de las recomendaciones más importantes es no interactuar con enlaces ni ejecutar comandos (que es algo que solemos hacer con frecuencia y casi de manera automática), ya que provengan de correos no verificados, incluso si parecen legítimos. Comprobar cuidadosamente la dirección del remitente y buscar errores tipográficos puede ayudar a detectar fraudes.
Otra clave es desconfiar de mensajes que infunden urgencia (cuando de vacaciones se trata la urgencia es un factor “peligroso”) o que amenazan con la cancelación de una reserva si no se actúa de inmediato. Estas tácticas están diseñadas para presionar psicológicamente al usuario. Siempre es mejor contactar directamente con el proveedor a través de sus canales oficiales antes de hacer clic en ningún enlace recibido por correo o mensaje.
Cómo protegerse con herramientas y buenas prácticas en Booking
Las autoridades recomiendan una serie de medidas para reducir la exposición a este tipo de amenazas, muchas de las recomendaciones parecen complicadas a simple vista, pero ante cualquier duda, siempre es recomendable consultar con un especialista en el área. Entre ellas destaca el uso obligatorio de la Autenticación Multifactor (MFA), que impide el acceso incluso si las credenciales han sido robadas.
También es importante contar con soluciones de protección adicional y activar Safe Links, que analiza las URL en tiempo real antes de permitir su apertura. Además, los navegadores con funciones de protección como SmartScreen pueden bloquear páginas falsas automáticamente. Configurar la protección en la nube y activar funciones como ZAP (purga automática hora cero) también ayuda a eliminar correos maliciosos antes de que el usuario los abra, a simple parece un tema complejo, pero se trata de nociones básicas de ciberseguridad.
La ciberseguridad no depende solo de la tecnología, es decir, no se trata solo de las personas que se forman en estas áreas, es un trabajo que actualmente todos deberíamos manejar: “también es crucial formar a los empleados y usuarios para reconocer estas amenazas y actuar con cautela”.
