«Hay un problema con su pago. Verifique sus datos en el siguiente enlace en las próximas 24 horas o su reserva será cancelada». Este mensaje, recibido a través del chat oficial de Booking.com o Expedia, es el cebo de una nueva y sofisticada oleada de estafas que está causando estragos entre los viajeros. Lo novedoso y alarmante es que detrás de estos mensajes ya no hay torpes traducciones automáticas, sino modelos de inteligencia artificial capaces de redactar el engaño perfecto. Es un fraude que no solo vacía la cuenta de los clientes, sino que deja a los hoteleros como la otra gran víctima de una crisis de seguridad que amenaza la confianza de todo el sector.

La anatomía del engaño: así actúan los ciberdelincuentes

Para entender la eficacia de esta estafa, hay que conocer su modus operandi, que combina una intrusión inicial con el poder de la IA para la ingeniería social.

1. El asalto al hotel: El primer paso de los estafadores es obtener acceso a la extranet del hotel en las grandes plataformas de reservas. Lo consiguen mediante ataques de phishing dirigidos al personal del hotel, a menudo con un email que les engaña para que revelen sus credenciales.
2. La IA como arma de precisión: Una vez dentro, los delincuentes tienen acceso a los datos de las próximas reservas. Es aquí donde entra en juego la IA generativa. Utilizan herramientas como ChatGPT para redactar mensajes masivos, personalizados, sin errores ortográficos y en cualquier idioma, imitando a la perfección el tono y el formato de las comunicaciones oficiales de Booking.com o similares.
3. El mensaje a través del canal oficial: El factor clave del éxito de la estafa es que el mensaje fraudulento se envía desde la propia cuenta del hotel a través del chat oficial de la plataforma. Esto hace que el cliente no sospeche, ya que el aviso llega desde un canal en el que confía.
4. La urgencia y el robo: El mensaje siempre apela a la urgencia y al miedo a perder la reserva. El enlace dirige a una página de phishing, visualmente idéntica a la de la plataforma, donde el cliente introduce los datos de su tarjeta de crédito, que son robados al instante.

El hotelero: la víctima oculta de la estafa

Por cada viajero que sufre el robo, hay un negocio hotelero que sufre las consecuencias. Los propietarios de hoteles, especialmente los pequeños y medianos, son la víctima oculta de este fraude.

• Daño reputacional: Aunque el hotel ha sido hackeado, el cliente estafado asocia la mala experiencia directamente con el establecimiento. Esto se traduce en críticas negativas, pérdida de confianza y un daño a la marca que puede tardar años en repararse.
• Pérdida de negocio y costes de gestión: La gestión de la crisis consume una enorme cantidad de tiempo y recursos. Atender a clientes enfadados, comunicarse con la plataforma y gestionar las cancelaciones genera pérdidas económicas directas y un profundo desgaste para el personal.
• Presión de las plataformas: Los pequeños hoteleros se encuentran atrapados entre la creciente sofisticación de los hackers y las exigencias de seguridad de las grandes plataformas de reservas, que a menudo les responsabilizan de la seguridad de sus propias credenciales.

En definitiva, esta nueva era de ciberdelincuencia con IA ha convertido a los hoteleros en la primera línea de defensa involuntaria de una batalla para la que no estaban preparados, amenazando la viabilidad de muchos negocios.

Fuentes:

• SecureList (Kaspersky): The perfect scam: AI-powered phishing on Booking.com
• El Confidencial: La estafa de Booking con IA que te puede amargar las vacaciones: «Parece muy real»
• ESET: AI-powered hotel booking scams are on the rise
• Hosteltur: Estafas en Booking: ¿quién es el responsable, el hotel o la plataforma?
• CNN: Booking.com customers targeted by scam messages sent from hackers inside hotels’ own systems