En AntiScam alertamos sobre una campaña activa de ciberestafa dirigida a usuarios de plataformas de reserva de alojamientos, especialmente Booking.com. El fraude se apoya en un elemento especialmente sensible: la confianza del viajero en el alojamiento que ya ha reservado y pagado, o que está a punto de hacerlo.
La alerta ha sido difundida por la Agència de Ciberseguretat de Catalunya, tras detectar múltiples casos de usuarios que han recibido mensajes falsos haciéndose pasar por el hotel o apartamento contratado.
El engaño: mensajes que parecen legítimos y llegan por canales reales
El fraude comienza con un mensaje que el usuario recibe dentro de la propia plataforma de Booking o a través de WhatsApp. En él, el supuesto alojamiento informa de un problema con el pago, una verificación de seguridad pendiente o un error técnico que requiere una acción inmediata.
La clave del engaño es el nivel de detalle. Los mensajes suelen incluir:
- Nombre real del alojamiento
- Fechas exactas de la reserva
- Número o identificador de la misma
Esta información hace que el aviso parezca auténtico y reduce las sospechas iniciales del cliente.
Suplantación digital y robo de credenciales
Según la Agència de Ciberseguretat de Catalunya, los ciberdelincuentes no actúan al azar. En muchos casos, han conseguido acceder previamente a las cuentas de los propios alojamientos, tras robar sus credenciales de gestión dentro de la plataforma.
Con el usuario y contraseña del establecimiento, los estafadores pueden:
- Acceder a los datos reales de las reservas
- Comunicarse con los clientes desde el chat oficial
- Generar mensajes que parecen enviados por el hotel legítimo
Este acceso explica por qué muchos fraudes se producen sin salir del entorno de Booking, lo que aumenta de forma significativa la credibilidad del engaño.
El objetivo final: pago inmediato y datos bancarios
El mensaje suele incluir un enlace que redirige a una web fraudulenta que imita la apariencia de Booking. Desde allí, se solicita al usuario introducir los datos de su tarjeta de crédito o realizar un pago adicional para “asegurar” la reserva.
El tono es casi siempre urgente. La amenaza habitual es la cancelación inmediata del alojamiento o la aplicación de un cargo temporal si no se actúa en ese momento. Esta presión es deliberada y busca evitar que la víctima contraste la información.
Señales de alerta que no deben ignorarse
Desde AntiScam destacamos varios indicios claros de riesgo:
- Solicitudes urgentes de datos bancarios
- Enlaces externos enviados por mensaje
- Avisos de verificación o pago inesperados
- Amenazas de cancelación inmediata
Aunque el mensaje llegue desde un chat aparentemente oficial, ningún alojamiento debería pedir datos sensibles de esta forma.
Qué recomiendan los expertos en ciberseguridad
La Agència de Ciberseguretat de Catalunya insiste en:
- No hacer clic en enlaces recibidos por mensaje o chat
- No introducir datos bancarios desde enlaces externos
- Verificar siempre la dirección web antes de autorizar pagos
- Contactar directamente con el alojamiento por sus canales oficiales ante cualquier duda
Si el mensaje genera urgencia o presión, la recomendación es clara: detenerse y verificar.
Viajar no debería implicar asumir riesgos digitales
Este tipo de estafas demuestra cómo los ciberdelincuentes aprovechan momentos de ilusión y planificación personal para maximizar el impacto del fraude. El viaje empieza mucho antes de hacer la maleta, y también ahí debe empezar la prevención.
En AntiScam seguiremos denunciando estas prácticas y recordando una regla básica: cuando un pago inesperado llega acompañado de prisa, el riesgo es real.