La temporada alta turística no solo trae turistas y reservas, sino también un aumento alarmante de ciberdelitos. Este verano, la Agencia de Ciberseguridad de Cataluña ha emitido una alerta sobre una ciberestafa que afecta a clientes de hoteles, basada en la suplantación de la plataforma Booking, una de las principales webs de reservas de alojamiento.

Según la agencia oficial de la Generalitat, los delincuentes informáticos acceden de forma ilegal a las bases de datos de los hoteles, extrayendo información confidencial de clientes que ya tienen reservas reales hechas a través de Booking. Con estos datos, los atacantes se hacen pasar por los propietarios o la propia plataforma para enviar mensajes fraudulentos a los usuarios.

El modus operandi es siempre similar: los clientes reciben un correo electrónico o SMS que parece legítimo, en el que se les informa de un problema con el pago de su reserva. El mensaje suele incluir un enlace que dirige a una web falsa que simula ser Booking y les insta a introducir sus datos bancarios para “confirmar” el pago y evitar la pérdida de la reserva. La urgencia del mensaje, que suele amenazar con la cancelación inmediata, provoca que muchas víctimas, bajo estrés, caigan en la trampa y entreguen sus datos a los ciberdelincuentes.

El origen de esta estafa está en la vulnerabilidad de los sistemas informáticos de los hoteles, quienes sufren ataques para robar bases de datos con información sensible, incluyendo correos electrónicos y números de teléfono de clientes con reservas próximas. Los hackers aprovechan estas brechas para hacerse con el control y enviar mensajes a los huéspedes en los días previos a su llegada, incrementando la presión y la sensación de urgencia.

Este tipo de fraude no es nuevo: ya en 2023 se detectó un caso similar en un hotel de Bilbao, donde 24 clientes fueron víctimas de la estafa. La investigación posterior determinó que el establecimiento conocía sus fallos de seguridad, pero no actuó ni informó a las autoridades competentes, lo que le valió una sanción de 7.000 euros por parte de la Agencia Española de Protección de Datos.

Para evitar ser víctimas de esta práctica, la Agencia de Ciberseguridad recomienda no hacer caso a mensajes con un tono urgente que pidan datos personales o bancarios ni acceder a enlaces enviados por SMS o correo electrónico. En caso de dudas, siempre es preferible contactar directamente con el hotel o acceder a la plataforma oficial de Booking mediante la app o la web, donde cualquier problema de pago o reserva se notificará formalmente.

En un contexto en que las reservas online son ya la norma, este tipo de ciberataques amenaza la confianza del consumidor y exige a los alojamientos reforzar urgentemente sus sistemas de seguridad informática para proteger tanto su reputación como la integridad de sus clientes.