Rafael López es ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software, compañía multinacional especializada en soluciones de seguridad informática. Entre sus clientes se encuentran importantes cadenas hoteleras, que en estas fechas son objetivo preferencial de un gran número de ciberdelincuentes. Estos aprovechan la mayor actividad de estas fechas estivales para intentar acceder a las reservas realizadas a través de plataformas como Booking. El objetivo último es llegar a los clientes que han hecho dichas reservas para que su dinero no vaya al hotel, sino al bolsillo del estafador de turno. López apunta que el del alojamiento turístico es un mercado “muy jugoso” para los cibercriminales por el dinero que mueve, pero también por la vulnerabilidad digital de algunos establecimientos y la mayor facilidad para colarle el engaño a quien, en esta época, baja la guardia obsesionado con disfrutar de unos días de asueto.

Según un estudio reciente, 1 de cada 21 dominios web relacionados con vacaciones es malicioso o sospechoso. Son muchos, ¿no?

Sí, son muchos. Los malos, si tienen algo, es mucho dinero, porque esto va de robar dinero, de una ganancia económica. Invierten muchísimo en comprar dominios que son muy parecidos para lanzar las estafas. Cuando lanzas esas estafas, consigues un retorno de esa inversión, como si fuera un negocio. Porque el cibercrimen es eso, un negocio y te permite adquirir miles y miles de dominios. Mueve a nivel mundial más de 10 billones de dólares, sería como el 1,5% del PIB mundial. Es una barbaridad. Es un negocio muy rentable. De hecho, los cibercriminales funcionan como una empresa. Tienen sus equipos de recursos humanos, sus equipos especialistas… Funcionan igual, pero de manera ilícita y todo orientado a robarnos todo el dinero.

¿Es el mercado de los alojamientos vacacionales uno de los más jugosos para hacer este tipo de prácticas fraudulentas?

Si no es de los más jugosos, está en un top 5 alto. Sobre todo, en determinadas épocas del año. Por ejemplo, en vacaciones de verano es muy habitual que nos vayamos a una plataforma para poder reservar. Los ciberdelincuentes lo saben y aprovechan estas épocas para lanzar la mayoría de los ciberataques orientados a este sector. 

"Hay mucho alojamiento que no tiene la ciberseguridad que debería y eso lo saben los ciberdelincuentes"

¿Por qué es tan jugoso?

Aquí se juntan dos variables. Una es que cuando vamos a cualquier tipo de alojamiento, tenemos que hacer un pago online. Tienen nuestros datos, los medios de pago que utilizamos… Se mueven muchísimo dinero y muchísimos datos. Y además, en el sector turístico, no hablo de las grandes cadenas, hay mucho alojamiento de cadenas más pequeñitas o privado que no tiene toda la ciberseguridad que debería y los cibercriminales lo saben. Por ello, son un objetivo muy jugoso, tanto por el tema económico como porque es más sencillo para ellos atacar al hotel para robarle datos y lanzar la estafa a los clientes.

En estas fechas, imagino que los ciberataques arreciarán. 

Sí. Lo que ocurre en vacaciones es que tienen muchísimo campo para poder coger datos de clientes. Y, además, nosotros como clientes, en vacaciones solemos estar más relajados. Muchas veces ese sentido común que tenemos más activo durante el año lo tenemos también de vacaciones. ¿Y qué ocurre? Nos llega un mensaje desde la plataforma que utiliza el hotel para comunicarse con nosotros diciendo que mañana tenemos la entrada, pero que nos la van a cancelar si no hacemos el pago ahora. Lo primero que voy a pensar es: me quedo sin vacaciones. Con lo cual ni siquiera pienso que es una estafa. Los ciberdelincuentes trabajan mucho con esa psicología, con esa prisa, sabiendo que estamos más en modo vacaciones y no estamos atentos a que nos van a engañar. 

"Roban las credenciales del hotel, mandan un mensaje desde la web de Booking y eso nos baja las defensas"

Los estafadores acceden a las reservas de los hoteles en plataformas como Booking y roban las credenciales de sus cuentas para luego contactar con los clientes. ¿Cómo lo hacen exactamente? 

La estafa de Booking se basa en que los ciberdelincuentes lanzan cualquier tipo de correo electrónico a un hotel con una excusa: bien que accedan a una página web o para descargarse un documento. Lo que quieren es robarles el usuario y la contraseña de la web de Booking, donde los hoteles se registran, se anuncian y se comunican con todos los huéspedes. Una vez obtienen esas credenciales, ya tienen acceso a todas las reservas. Por tanto, ellos nos van a enviar un mensaje dentro de la misma aplicación. Por eso es tan peligroso, porque nos lo están mandando desde la web de Booking y eso nos baja las defensas. Dentro de ese mensaje lo que van a decir es: tienes un problema con la tarjeta de crédito, tienes que volver a confirmar con tu tarjeta o si no vas a perder la reserva. Y nos van a adjuntar un enlace que nos lleva a una página que no es de Booking, aunque cuando accedamos a ella no vamos a sospechar que es falsa, porque está perfectamente hecha y tendrá uno de esos miles de dominios que han comprado y que se parecen tanto al auténtico. Tanto es así que incluso tiene un asistente de Inteligencia Artificial al que le podemos preguntar si hay algún problema y nos va a responder que no, que podemos interactuar en esa página de manera segura. Porque los malos son capaces de clonar exactamente la web de Booking. 

Y, posteriormente, ¿cómo se hacen con el dinero de los clientes?

Básicamente nos dicen que volvamos a meter los datos de la tarjeta de crédito para volver a pagar. No vamos a sospechar nada, porque en la página web nos va a aparecer nuestros datos de la reserva, lo que hemos pagado... Y van a coincidir prácticamente la mayoría de los datos. Claro, nosotros al hacer el pago en esta web no lo estamos haciendo a Booking, sino en la web fraudulenta. Y además hay dos tipos de situaciones: una, en la que simplemente vamos a hacer el pago del precio de la reserva y otra en la que van a intentar pasarnos un importe muy cercano al límite de nuestra tarjeta. Puede ser que la estafa sea de 150 euros o que lleguemos a perder miles de euros. Ha habido casos en los que la reserva ha sido de 2.000 o 3.000 euros que han sido estafados. 

Y, cuando el cliente acude al hotel o al apartamento de turno, se descubre todo el pastel...

Así es. Se presenta en el hotel y en recepción le dicen que la reserva está pero que tiene que abonar el importe. El huésped en ningún momento va a sospechar que él no ha pagado en Booking. Y si tenemos la opción de ‘reserva ahora, paga después’, llegamos al hotel y es entones cuando nos damos cuenta de que nos hemos quedado con la reserva sin pagar y encima hemos perdido ese dinero. Nos van a dar unas vacaciones para no olvidarlas el resto de nuestra vida.

"Puede que la estafa sea de 150 euros, pero ha habido casos en que ha sido de 2.000 o 3.000 euros"

Y una vez se da cuenta de la estafa, ¿cómo hace el huésped para reclamar ese dinero?

Por suerte o por desgracia, el cliente se suele dar cuenta antes porque le suele llegar un importe de la tarjeta de crédito que es diferente al de Booking y entonces suele sospechar. En cualquier caso, hay que acudir a cualquiera de los cuerpos y fuerzas de seguridad, interponer la denuncia y explicar el caso. Están perfectamente concienciados, porque por desgracia esto es muy habitual. Nos van a pedir una serie de datos, como la página web donde se ha hecho el pago, la transacción... Poner una reclamación en Booking normalmente tampoco sirve de nada, porque en este caso no es el responsable. Y el hotel, si ha tomado las medidas necesarias para que esto no ocurra, para no ser infectado, tampoco tiene culpa. Es una estafa muy complicada, porque al final todos pierden. Pierde el hotel la reputación, pierde también reputación Booking porque se la ha podido colar alguna estafa, aunque trabaja muchísimo en que esto no pase y pierde, obviamente, el cliente que ha visto desaparecer su dinero.  

Aunque las estafas están muy cuidadas y simulan perfectamente la web de Booking, siempre se dejan ciertas señales. ¿Cuáles son las que nos deberían hacer sospechar?

Las red flags que nos deben activar nuestro sentido común son, por ejemplo, que nos pidan con muchísima urgencia que hagamos el pago o si no se cancela la reserva. Hace poco vimos un mensaje en el que reclamaban el pago antes de seis horas. Esto me parece ya una exageración, pero siempre van a recurrir a la urgencia. Otra es que nos van a mandar un enlace. Y Booking o el hotel que trabaja a través de esta plataforma nunca nos van a enviar un enlace para volver a hacer el pago. Como máximo nos dirán que hay algún tipo de problema y que nos comuniquemos con el hotel o que volvamos a la web de Booking y revisemos las notificaciones que tenemos. Si nos mandan un enlace, un mensaje con sensación de urgencia, diciendo que nos cancelan la reserva… Eso es un indicador de que estamos ante la estafa de Booking. ¿Qué hay que hacer entonces? Telefonear de inmediato al hotel y preguntarles si han mandado ellos ese mensaje. Si no han sido ellos, te dirán que estés tranquilo, que puede ser que hayan sufrido un incidente… Y es que muchas veces los hoteles no se enteran de que han tenido un incidente de seguridad hasta que un cliente llama diciendo que ha recibido un mensaje en su nombre pidiéndole un pago. El hotel también es víctima en este caso.