En nuestro artículo anterior, explicamos cómo los ciberdelincuentes están usando la inteligencia artificial para crear estafas casi perfectas en plataformas de reservas hoteleras. Ahora, pasamos a la acción. Aunque los estafadores son cada vez más sofisticados, sus métodos tienen fisuras. Conocer sus tácticas y seguir unas reglas de oro puede marcar la diferencia entre unas vacaciones de ensueño y una pesadilla financiera. Esta es tu guía de autodefensa para proteger tus reservas.

Las Señales de Alerta: Cómo Identificar un Mensaje Fraudulento

La IA ha eliminado las faltas de ortografía, pero sigue dejando pistas. Presta atención a estas señales de alarma en cualquier comunicación sobre tus reservas:

• La urgencia como arma principal: El 99% de los mensajes de phishing apelan a la urgencia y al miedo. Frases como «su reserva será cancelada en 24 horas», «problema con su pago, actúe de inmediato» o «verifique sus datos para no perder la habitación» son banderas rojas. Las comunicaciones legítimas de las plataformas rara vez son tan apremiantes.
• Petición de datos fuera de la plataforma: El objetivo final del estafador es sacarte de la app oficial. Si el mensaje te pide verificar datos o realizar un pago a través de un enlace externo, desconfía siempre.
• Dominios extraños en los enlaces: Aunque no hagas clic, puedes revisar la URL. Si en lugar de booking.com ves algo como booking-payment-support.com o una dirección extraña, es una estafa.

El Manual de Actuación: Tus Tres Pasos de Verificación

Si recibes un mensaje sospechoso, por muy real que parezca, respira hondo y sigue siempre este protocolo de tres pasos. No te llevará más de cinco minutos y puede ahorrarte cientos o miles de euros.

Paso 1: La Regla de Oro: No Hagas Clic

Es la norma más importante. Nunca, bajo ninguna circunstancia, hagas clic en un enlace que te llegue por email o por el chat de la plataforma para solucionar un supuesto problema de pago. Tampoco llames a números de teléfono que aparezcan en el mensaje.

Paso 2: Verifica Dentro de la App Oficial

Cierra el mensaje o el email sospechoso. Abre la aplicación oficial de Booking.com, Expedia, Airbnb, etc., o ve a su página web tecleando tú mismo la dirección en el navegador. Accede a la sección «Mis Reservas». Si hay un problema real con tu pago, aparecerá una notificación clara y destacada en el panel principal de tu reserva. Si no ves nada ahí, el mensaje que has recibido es falso.

Paso 3: Contacta Directamente con el Hotel (por la Vía Segura)

Si aún tienes dudas, contacta directamente con el alojamiento. Pero no uses los datos de contacto que puedan aparecer en el mensaje fraudulento. Busca el nombre del hotel en Google, encuentra su página web oficial y llama al número de teléfono que aparece allí o escríbeles a su email oficial. Pregúntales si realmente existe un problema con tu reserva.

Medidas de Prevención Adicionales

• Activa la autenticación de dos factores (2FA): Tanto en tu email como en las apps de reservas. Esto añade una capa extra de seguridad que dificulta enormemente que los hackers accedan a tus cuentas.
• Utiliza tarjetas de crédito o virtuales: Siempre que sea posible, paga tus reservas con tarjeta de crédito. Ofrecen un nivel de protección y capacidad de reclamación ante el fraude mucho mayor que las tarjetas de débito. Usar tarjetas virtuales de un solo uso para compras online es una práctica excelente.
• Mantén el sentido común: Si una oferta parece demasiado buena para ser verdad, probablemente no lo sea. Desconfía de mensajes que te pidan actuar con prisas o que te generen un estado de alarma.

La ciberdelincuencia evoluciona, pero las buenas prácticas de seguridad siguen siendo nuestra mejor defensa. Ante la duda, la prudencia es siempre la mejor consejera.

Fuentes:

• Federal Trade Commission (FTC): How To Recognize and Avoid Phishing Scams
• National Cyber Security Centre (NCSC UK): Phishing: Spot and report scam emails, texts, websites and calls
• WIRED: How to Spot a Phishing Scam
• Incibe: Guía de ciberseguridad en el sector hotelero
• The Guardian: ‘It was so convincing’: the hotel booking scam sweeping Europe

«Hay un problema con su pago. Verifique sus datos en el siguiente enlace en las próximas 24 horas o su reserva será cancelada». Este mensaje, recibido a través del chat oficial de Booking.com o Expedia, es el cebo de una nueva y sofisticada oleada de estafas que está causando estragos entre los viajeros. Lo novedoso y alarmante es que detrás de estos mensajes ya no hay torpes traducciones automáticas, sino modelos de inteligencia artificial capaces de redactar el engaño perfecto. Es un fraude que no solo vacía la cuenta de los clientes, sino que deja a los hoteleros como la otra gran víctima de una crisis de seguridad que amenaza la confianza de todo el sector.

La anatomía del engaño: así actúan los ciberdelincuentes

Para entender la eficacia de esta estafa, hay que conocer su modus operandi, que combina una intrusión inicial con el poder de la IA para la ingeniería social.

1. El asalto al hotel: El primer paso de los estafadores es obtener acceso a la extranet del hotel en las grandes plataformas de reservas. Lo consiguen mediante ataques de phishing dirigidos al personal del hotel, a menudo con un email que les engaña para que revelen sus credenciales.
2. La IA como arma de precisión: Una vez dentro, los delincuentes tienen acceso a los datos de las próximas reservas. Es aquí donde entra en juego la IA generativa. Utilizan herramientas como ChatGPT para redactar mensajes masivos, personalizados, sin errores ortográficos y en cualquier idioma, imitando a la perfección el tono y el formato de las comunicaciones oficiales de Booking.com o similares.
3. El mensaje a través del canal oficial: El factor clave del éxito de la estafa es que el mensaje fraudulento se envía desde la propia cuenta del hotel a través del chat oficial de la plataforma. Esto hace que el cliente no sospeche, ya que el aviso llega desde un canal en el que confía.
4. La urgencia y el robo: El mensaje siempre apela a la urgencia y al miedo a perder la reserva. El enlace dirige a una página de phishing, visualmente idéntica a la de la plataforma, donde el cliente introduce los datos de su tarjeta de crédito, que son robados al instante.

El hotelero: la víctima oculta de la estafa

Por cada viajero que sufre el robo, hay un negocio hotelero que sufre las consecuencias. Los propietarios de hoteles, especialmente los pequeños y medianos, son la víctima oculta de este fraude.

• Daño reputacional: Aunque el hotel ha sido hackeado, el cliente estafado asocia la mala experiencia directamente con el establecimiento. Esto se traduce en críticas negativas, pérdida de confianza y un daño a la marca que puede tardar años en repararse.
• Pérdida de negocio y costes de gestión: La gestión de la crisis consume una enorme cantidad de tiempo y recursos. Atender a clientes enfadados, comunicarse con la plataforma y gestionar las cancelaciones genera pérdidas económicas directas y un profundo desgaste para el personal.
• Presión de las plataformas: Los pequeños hoteleros se encuentran atrapados entre la creciente sofisticación de los hackers y las exigencias de seguridad de las grandes plataformas de reservas, que a menudo les responsabilizan de la seguridad de sus propias credenciales.

En definitiva, esta nueva era de ciberdelincuencia con IA ha convertido a los hoteleros en la primera línea de defensa involuntaria de una batalla para la que no estaban preparados, amenazando la viabilidad de muchos negocios.

Fuentes:

• SecureList (Kaspersky): The perfect scam: AI-powered phishing on Booking.com
• El Confidencial: La estafa de Booking con IA que te puede amargar las vacaciones: «Parece muy real»
• ESET: AI-powered hotel booking scams are on the rise
• Hosteltur: Estafas en Booking: ¿quién es el responsable, el hotel o la plataforma?
• CNN: Booking.com customers targeted by scam messages sent from hackers inside hotels’ own systems