Los ciberatacantes realizan phishing desde la propia aplicación de Booking.
Por Revista Summa
Booking se convirtió en una plataforma de consulta permanente para los viajeros, principalmente para buscar ofertas de alojamiento, pero también otros servicios como alquiler de autos y hasta pasajes aéreos. Según datos de Statista.com, más de 1000 millones de operaciones se registraron durante 2023, llegando a duplicarse la cantidad desde 2016. ESET, compañía líder en detección proactiva de amenazas, advierte que este caudal de visitas que recibe el sitio también llamó la atención de los cibercriminales, que se valen de la popularidad para llevar a cabo diversos tipos de estafas.
ESET analiza cuáles son los engaños más comunes que se dan en torno a Booking, cómo es posible protegerse y a qué prestar atención cuando se utiliza esta plataforma:
Suplantación de identidad: Una de las técnicas más frecuentes utilizadas por el cibercrimen son los correos de phishing, en los que suplantan la identidad de una entidad de renombre para engañar a la víctima y que crea estar en contacto con un canal oficial. En torno a Booking, ESET ha detectado casos en los que personas que reciben un mail donde los estafadores se hacen pasar por un administrador del alojamiento o servicio contratado, para informar que no se ha podido procesar el pago de la reserva y que podrían perderla si no se soluciona rápidamente. Apelando a la urgencia, una constante en este tipo de engaños, el cibercriminal facilita un enlace apócrifo, que induce a la víctima a realizar un nuevo pago con tarjeta de crédito para solucionar el supuesto error; dinero que solo llegará a la cuenta del atacante.
Hackeo del chat: Los ciberatacantes realizan phishing desde la propia aplicación de Booking, pero en lugar de enviar un mail se contactan directamente a través de chat, luego de comprometer la seguridad de los establecimientos donde el usuario hizo su reserva. El usuario de TikTok @tu_blog fiscal, muestra cómo recibió un mensaje en la plataforma que lo instaba a hacer un pago para confirmar la reserva. El estafador logra hacerse pasar por el hotel contratado y le informa a la víctima que hubo un error con el pago, por lo que es necesario volver a hacerlo si es que desea hospedarse. Otra variable es que se solicita la verificación de la tarjeta o bien confirmar los datos de los pasajeros.
El alojamiento inexistente: Un gran número de turistas fue víctima de este tipo de engaños que utilizaron el renombre de Booking para tender la trampa. Cuando el viajero llega al destino, el alojamiento que supuestamente había reservado no existe o se trata de una casa familiar que nada tiene que ver con la reserva. En este caso, los ciberdelincuentes crean un anuncio con fotos de una casa muy lujosa, a muy buen precio y la víctima puede realizar el pago sin inconvenientes a través de Booking.
“Las medidas de seguridad y los sistemas de puntajes son importantes en este aspecto, ya que los usuarios proveedores de servicios de la plataforma pueden cometer esta estafa varias veces antes de ser descubiertos y dados de baja. Por eso, es fundamental chequear referencias dentro de la misma web, donde se puede tener una idea de lo real de la oferta, además de valoraciones de otros turistas que hayan usado el servicio. La regla que debe regir es la que solemos repetir: si algo es demasiado bueno para ser verdad, es muy probable que, efectivamente, no lo sea.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.
Falsa oferta de trabajo: Se recibe unmensaje de texto contundente y tentador, supuestamente de parte de Booking. “Necesitamos alguien que evalúe las reservas de hotel. Pagamos entre 200€ y 1000€. Lo único que se debe hacer es valorar o dar me gusta al hotel en (aquí se adjunta un enlace apócrifo de Booking)”. Lo cierto es que el sitio oficial no está contratando personas para que evalúen hoteles y sus procesos de selección del personal tampoco son vía mensaje de texto. La modalidad real de contratación es a través de Booking Careers; además, no existe ningún puesto de trabajo en la plataforma en el que una de las tareas sea realizar reseñas de alojamientos.
Este es un caso más en el que una oferta de empleo es explotada por los cibercriminales, que se valen de empresas de renombre (como Google o YouTube) para jugar con la ilusión de sus víctimas, pero también para obtener un rédito muy valioso: dinero o datos personales.
Desde Booking se encargaron de aclarar que “ni los sistemas backend ni la infraestructura de Booking.com han sido vulnerados (…). En su lugar, se trata de un esfuerzo coordinado de los atacantes para cometer fraude tanto contra los huéspedes como contra los partners mediante correos electrónicos de phishing”.
Para protegerse de las estafas, desde Booking siempre alientan a que, en caso de recibir un contacto sospechoso, los usuarios recurran a la página oficial para validar la información que el supuesto contacto está brindando. Además, tiene un apartado en su página web dedicado a prevenir estafas. Por ejemplo, ponen mucho énfasis en los intentos de phishing y suplantación de identidad, donde alertan sobre diversas direcciones que suplantan la identidad de la marca: noreply@booking.com
noshow@booking.com, noreply-payments@booking.com; entre otras.
Como usuarios de este tipo de plataformas, desde ESET comparten buenas prácticas que se pueden incorporar para reducir el riesgo de ser víctimas:
· Prestar atención a los errores gramaticales o la inclusión de enlaces sospechosos, en caso de recibir algún contacto que afirma ser de Booking.
· En caso de dudas o sospechas, dirigirse directamente a Booking o al alojamiento que se ha reservado.
· Mantener actualizado el software de seguridad, las aplicaciones y el sistema operativo del dispositivo.
· Si no se cuenta con uno, instalar una solución de seguridad, ya que juega un papel clave en la detección y prevención de estafas y engaños.