Te llega un WhatsApp urgente: hay un problema con tu reserva de hotel, tienes ocho horas para verificar tu tarjeta de crédito o perderás la plaza. El nombre del hotel es correcto. Las fechas también. Incluso tu número de móvil. El mensaje parece venir de una empresa legítima. Solo hay un detalle raro: el remitente es una empresa de artes gráficas de la India.
Esta es la historia real que el divulgador tecnológico Wicho (Microsiervos) compartió esta semana en el programa de RNE *Cruce de cables*, y que ilustra con precisión el estado actual de las estafas de phishing vinculadas a plataformas de reservas de viaje.
El problema de Booking que lleva años sin resolverse
Las estafas que suplantan a Booking no son nuevas: se documentan al menos desde el verano de 2023. Pero han evolucionado. En los casos más sofisticados, los estafadores ya no usan solo WhatsApp: consiguen enviar los mensajes fraudulentos directamente a través del sistema de mensajería interno de Booking, apareciendo en el mismo hilo de conversación que el hotel legítimo usó al confirmar tu reserva.
¿Cómo es posible? La teoría más probable apunta a que los hoteles asociados son comprometidos —sus credenciales de acceso al panel de Booking son robadas— y desde esas cuentas comprometidas se envían los mensajes de phishing a los huéspedes. Booking lleva años siendo consciente del problema y ha anunciado el uso de inteligencia artificial para mitigarlo, aunque los resultados siguen siendo inconsistentes.
2023 año desde el que se documenta públicamente el problema de phishing en Booking, según The Guardian
La mecánica del engaño
El fraude funciona porque combina tres ingredientes muy efectivos: urgencia artificial (pocas horas para actuar), datos reales (nombre del hotel, fechas correctas, tu teléfono) y un pretexto plausible (verificar la tarjeta de crédito). El objetivo es siempre el mismo: que hagas clic en un enlace y entregues los datos de pago.
Lo que hace especialmente peligrosa la variante dentro del sistema interno de Booking es que el usuario no tiene ninguna señal visual para sospechar: el mensaje llega desde la misma interfaz que las comunicaciones legítimas del hotel con el que ya tienes confirmada la estancia.
Cómo protegerse
La regla de oro es sencilla aunque requiere disciplina: nunca seguir enlaces en mensajes urgentes. En su lugar:
- Ve directamente a la web o app de Booking con tus propias credenciales
- Activa la autenticación de dos factores siempre que sea posible
- Llama al hotel directamente si el mensaje parece venir de ellos
- Recuerda que ninguna plataforma legítima te pedirá verificar tu tarjeta con urgencia ni amenazará con quitarte la reserva en horas
Qué sigue
El consejo vale para cualquier plataforma, no solo Booking: Airbnb, bancos, servicios de paquetería. Los estafadores son muy flexibles en cuanto a quién intentan suplantar. Mientras Booking continúa aplicando parches tecnológicos, la primera línea de defensa sigue siendo el usuario. Si recibes un mensaje de este tipo, lo más probable es que sea falso. Y si tienes dudas, la única verificación fiable es la que haces tú mismo, desde tu propio dispositivo y accediendo directamente a la plataforma. Sin clics, sin prisas.