Una nueva estafa suplanta a hoteles para robar los datos bancarios o reclamar pagos tras una reserva: cómo identificarla y evitarla

El turismo se enfrenta en los días previos a la campaña de verano a una nueva estafa digital que aprovecha reservas reales de clientes para cobrar pagos extra o conseguir información bancaria de este. La técnica, denominada Reservation Hijack Scam o “secuestro de reservas”, se ha comenzado a detectar a mediados de este mes de mayo en varios países, entre ellos, España.

A diferencia de las estafas tradicionales, como el phishing, esta modalidad no se basa en mensajes genéricos ni en ofertas poco creíbles. En este caso se utiliza información real de reservas turísticas, como el nombre del cliente y del hotel, las fechas de estancia o detalles del pago para reclamar dinero adicional a las víctimas a través de mensajes que simulan ser el alojamiento. La técnica también incluye enlaces externos para volver a introducir los datos de la tarjeta.

La dificultad para detectar el engaño de esta nueva estafa en el sector turístico está en que los mensajes ya no presentan fallos evidentes ni emplean información genérica. Llegan con detalles correctos de la reserva y con textos redactados con precisión, lo que reduce las señales que antes permitían sospechar de inmediato.

Según un análisis realizado por la empresa de seguridad Norton y citado por Wired, al menos 350 hoteles, alojamientos vacacionales, hostales y pensiones en 50 países diferentes se han visto afectados por una estafa de este tipo.

Estos datos muestran que Alemania es el país con un mayor número de hoteles que podrían haber sufrido una filtración de datos de clientes, seguido de Francia, el Reino Unido, Italia, España y Estados Unidos.

Qué técnicas utilizan los ciberdelincuentes en esta estafa

Los atacantes de este tipo de estafa obtienen la información de las víctimas a través de conversaciones entre estas y la compañía hotelera, vulneraciones de sistemas digitales o credenciales robadas de plataformas de reservas de alojamientos. A partir de esos datos construyen comunicaciones que aparentan ser reales y con las que buscan una reacción rápida del cliente.

La estrategia más frecuente pasa por pedir una verificación bancaria o un pago adicional a la víctima haciéndose pasar por el alojamiento cuando la reserva ya ha sido confirmada. También pueden pedir que el usuario vuelva a introducir los datos de su tarjeta a través de un enlace externo o emplean dominios web casi idénticos a los oficiales.

Estos mensajes son enviados vía email, SMS, Whatsapp o dentro de la propia plataforma utilizada para la reserva, lo que dificulta detectar el fraude.

El cada vez más habitual uso de la inteligencia artificial por parte de los ciberdelincuentes para preparar sus estafas ha cambiado además la apariencia de estas comunicaciones. Esta tecnología permite redactar textos sin errores ortográficos, adaptar el idioma al destinatario y personalizar el contenido con mayor facilidad.

Recomendaciones para evitar caer en un fraude de este tipo

El Instituto Nacional de Ciberseguridad de España (Incibe) recomienda a los usuarios tomar medidas para prevenir e identificar estafas de cara a las vacaciones de verano. Según la entidad, existen algunas claves para detectar estos intentos de fraude.

En primer lugar, aconseja prestar atención a señales como precios demasiado bajos, falta de reseñas, perfiles sospechosos, solicitudes de pago fuera de la plataforma, errores de diseño o enlaces externos que llevan a formularios donde se piden datos personales y bancarios.

También es importante fijarse en la redacción del mensaje, las imágenes, información de contacto y las condiciones de cancelación. A la hora de pagar, antes de introducir los datos de la tarjeta, es conveniente comprobar la URL, que debe coincidir con la web real del hotel, agencia o plataforma.

En este punto, el Incibe recomienda revisar el método de pago y usar técnicas seguras como PayPal o una tarjeta de prepago.