Los piratas informáticos han encontrado una nueva forma de intentar estafar a miles y miles de personas, y lo hacen a través de los servicios de reservas legítimos de hoteles en Booking.com.

Los investigadores de seguridad han descubierto una nueva campaña phishing en la que los piratas informáticos entran a los sistemas oficiales de los hoteles, de sitios de reservas o de agencias de viajes, y desde ahí estafan a los clientes.

La estafa comienza con una llamada del pirata informático al hotel o a la agencia de viajes. Después de haberse comunicado con el hotel, los delincuentes hablan de algún motivo como una condición médica de uno de los futuros clientes para que envíen documentos importantes a través de una dirección web.

Si el hotel accede a esta dirección web, los piratas informáticos inyectan un malware que opera de forma sigilosa y que recopila datos confidenciales como credenciales o información financiera.

Con ello, los piratas informáticos tendrían acceso a los propios clientes que hayan realizado algún tipo de reserva en este hotel o agencia de viajes.

El pirata informático, al contar ya con un canal de comunicación directo y oficial del hotel, o la agencia de viajes que ha podido corromper, pueden enviar sus mensajes phishing directamente a los clientes que hayan realizado una reserva.

Este mensaje phishing que se realiza a través de un canal de comunicación oficial del hotel o de la agencia de viajes, y por eso parece legítimo, se pide a la posible víctima que confirme la tarjeta de crédito una vez más.

Para ello se insta al cliente a que acceda a una página web fraudulenta que lleva a un sitio falso de Booking donde se tendría que volver a introducir los datos de la tarjeta bancaria. Si lo hace, estos datos de la tarjeta bancaria irán a llegar al pirata informático.

Dado que la comunicación proviene del sitio de reservas a través del canal oficial, el usuario cree que todo es fidedigno e introduce su tarjeta sin saber que se le está otorgando los datos a los piratas informáticos.

Cómo saber si es una estafa

Si bien es bastante complicado en este caso saber si se trata de una estafa, sí que hay que fijarse que cuando el pirata informático manda el nuevo correo electrónico se insta al usuario a que haga clic en un enlace que nada tiene que ver con Booking ni con ninguna página oficial.

Ahí es donde el usuario tiene que sospechar, y jamás entrar a ese enlace en el correo electrónico.

Además los investigadores también señalan que otra forma de detectar que se trata de una estafa, es porque se insta al usuario a que introduzca de nuevo sus datos bancarios metiéndole bastante prisa.

Recomiendan que ante cualquier mensaje que pueda hacernos dudar mínimamente, que nos pongamos en contacto directamente con el hotel, preferentemente en el número de teléfono oficial para confirmar si este mensaje es realmente de ellos.