La ya famosa táctica del phishing, que consiste en hacerse pasar por un servicio o una empresa de manera fraudulenta, está extendidísima en España. Los casos más preocupantes ocurren cuando los atacantes consiguen reproducir ciertos servicios de manera casi exacta. Pero ¿qué ocurre cuando dicha estafa se produce en la propia plataforma de la web? Es lo que ha pasado con Booking, ya que una usuaria ha denunciado un intento de estafa directamente en su app.
Así lo asegura Diana Aceves, usuaria de X (anteriormente Twitter) que muestra cómo a través del chat de la aplicación se ha encontrado con un clarísimo intento de phishing. En la captura que Aceves publica, se puede observar el mensaje de un estafador usando las clásicas tácticas de phishing que se suelen ver, por ejemplo, en correos electrónicos.
"Un mensaje de alojamiento a través del chat de Booking", denuncia Diana. "Me parece gravísimo. Creo que Booking.com debería ser responsable de la seguridad dentro de su plataforma", lamenta la usuaria. Todo se agrava cuando varios usuarios advierten a Diana que incluso la cuenta que ha mencionado es falsa, algo tristemente habitual en X.
Un intento de estafa en Booking
Analizando la captura que provee Diana, es posible ver el intento de estafa. El mensaje que recibe en Booking.com está plagado de faltas de ortografía y de errores de escritura, lo que suele ser un claro indicio. Por si fuera poco, el atacante usa las maniobras de ingeniería social ya habituales para meter prisa a su víctima, como avisar que si no hace la reserva en 12 horas esta será completamente cancelada.
"Para confirmar la reserva y asegurarse un suave check-in, por favor complete la verificación desde el enlace provisto". A continuación, el atacante añade un enlace fraudulento que lleva a una web falsa, pidiendo a su víctima que introduzca sus datos personales. Y es que esto es algo que directamente no tiene sentido, ya que Booking.com ofrece estas ventajas de forma nativa.
Lo cierto es que este caso de phishing viene de largo. Desde EL ESPAÑOL - Omicrono ya informamos a finales del año pasado sobre este asunto, advirtiendo de una campaña de phishing bastante seria. Muchos de estos mensajes fraudulentos provenían de cuentas de hoteles comprometidas, que evidentemente intentaban hacerse pasar por estas empresas afectadas.
Además de ello, el post denuncia de Diana ha servido para que otros denuncien una situación similar. Irene, otra usuaria, denuncia que le pasó algo muy similar en noviembre. Otra persona, también llamada Diana, explica que le pasó lo mismo un día antes que a su tocaya. Incluso un usuario se lamenta asegurando que le han estafado más de 1.000 euros.
Según Perception Point, estos ciberatacantes cuentan con acceso a datos de consumidores bastante sensibles, como nombres completos, fechas de reserva y métodos de pago parciales. Las webs que usan suelen estar ya incluidas con esta información, para dar una mayor sensación de seguridad. Introducir datos en estos enlaces externos puede dar lugar a ataques de suplantación de identidad y a estafas bancarias.
Booking ha explicado a través de un comunicado que "optimizan constantemente las sólidas medidas de seguridad que tenemos implementadas para proteger a nuestros clientes y partners, y nos tomamos muy en serio el proceso de verificación de los alojamientos publicados. Además de la serie de controles que tenemos para verificar las propiedades antes de que se les permita abrir en nuestra plataforma, contamos con un equipo dedicado que utiliza herramientas personalizadas para monitorizar, detectar y bloquear actividades sospechosas durante todo el día, todo ello con los más altos estándares técnicos".
Al tiempo que añaden que, "en los raros casos en que pueda haber algún motivo de duda o preocupación con una propiedad específica, investigamos y actuamos de inmediato, eliminándolos de nuestro sitio si es necesario. También alentamos a los viajeros a hacer uso de las más de 230 millones de reseñas verificadas de clientes reales en nuestra plataforma para ayudarlos a tomar una decisión informada sobre dónde hospedarse, y si alguna vez tienen una pregunta o inquietud sobre una propiedad, nuestro equipo de servicio al cliente está disponible para dar soporte personalizado 24 horas al día, los 7 días de la semana".
Cómo evitar el phishing
En el caso de Booking.com, es importantísimo entender que este da numerosas facilidades para realizar las reservas de manera segura en su plataforma. Es decir, que la primera norma es clara: evitar en la medida de lo posible el uso de enlaces externos a Booking.com, ya que en la mayoría de casos no es necesario. Especialmente si existen condiciones que inciten a meter prisa al cliente, como la necesidad de reservar en un plazo de tiempo determinado.
También es importantísimo fijarse en la estructura del propio mensaje y en las faltas de ortografía. Las grandes cadenas hoteleras suelen tener cuidado en este sentido y la presencia de estos detalles en una de estas cuentas debería hacer sospechar. Por último, es vital verificar que se usan plataformas de pago seguras y que la web en la que se introducen dichos datos es fidedigna.