Los correos falsos de reservas: así se roban los datos de los consumidores

Una ofensiva digital dirigida a millones de usuarios expone la fragilidad del correo electrónico ante ataques sofisticados de ingeniería social: una nueva campaña utiliza correos falsos que simulan ser de Booking.com para difundir un malware capaz de robar información confidencial, advirtió ESET.

El resurgimiento de tácticas como la técnica ClickFix marca una transformación en la ciberdelincuencia, donde ya no resulta imprescindible vulnerar sistemas: basta con persuadir a las personas para que ejecuten los comandos que abren la puerta al ataque.

El vector principal, según el análisis de Securonix, consiste en mensajes que alertan sobre supuestos inconvenientes con reservas o reembolsos.

Mediante un enlace, la víctima es guiada a un sitio web apócrifo, cuyo diseño replica con precisión la estética de Booking.com. Allí, el navegador despliega una falsa pantalla de error de Windows—conocida como la “pantalla azul de la muerte” o BSOD—e invita a resolver el incidente ingresando instrucciones en PowerShell o desde la ventana Ejecutar.

En el tercio final de la cadena de ataque, el usuario que sigue las indicaciones compromete por completo su equipo. De inmediato, el sistema descarga un proyecto .NET y lo compila usando MSBuild.exe. Este proceso es la antesala para instalar DCRAT, un troyano de acceso remoto especializado en el registro de pulsaciones de teclado, ejecución de órdenes y descarga de recursos adicionales, como mineros de criptomonedas.

El ataque busca eliminar defensas como Windows Defender e instalar mecanismos de persistencia y elevación de privilegios. Así, facilita tanto la sustracción de información sensible como la propagación latera a otros sistemas conectados.

Según el ESET Threat Report, la modalidad ClickFix creció más de 500 % durante el primer trimestre de 2025, ubicándose como el segundo vector de ataque más reportado después del phishing. Este dato evidencia la consolidación de la ingeniería social como estrategia dominante.

“Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación y la atención frente a mensajes urgentes siguen siendo una de las principales barreras de protección”, explicó Martina López, especialista en Seguridad Informática de ESET Latinoamérica, citada en el reporte.

El engaño logra efectividad al aprovechar la urgencia de los usuarios para atender problemas de reservas o reembolsos pendientes. Una vez que la víctima accede al enlace del correo, la secuencia del ataque está diseñada para que el usuario sea quien complete, sin saberlo, la infección de su dispositivo.

La investigación recomendó fortalecer la vigilancia frente a estos intentos: verificar siempre la autenticidad de los mensajes, rechazar instrucciones provenientes de pantallas de error sospechosas y capacitar al personal en ambientes laborales donde las decisiones bajo presión son habituales.

También destacó el uso de soluciones de seguridad robustas, capaces de detectar la manipulación de herramientas legítimas y bloquear descargas no autorizadas.

La comprensión de las técnicas de ingeniería social resulta fundamental, ya que en la actualidad gran parte de las amenazas depende más de la manipulación del usuario que de errores en el software.