Phishing, correos electrónicos comprometidos y factor humano: la nueva frontera del fraude cibernético a los viajeros
La estafa que lo sabe todo sobre usted
Acaba de reservar un hotel en Booking.com. Confirmación recibida, todo en orden. Luego, en cuestión de pocos minutos o unas horas, llega un mensaje de WhatsApp: el establecimiento le avisa de que el pago no se ha realizado correctamente y le pide que haga clic en un enlace para volver a introducir los datos de la tarjeta, bajo pena de cancelación de la reserva. El mensaje parece auténtico —y en parte lo es—: conoce su nombre, el nombre del hotel, las fechas exactas de la estancia y el importe pagado. En realidad, se trata de una de las estafas informáticas más sofisticadas y en rápida expansión entre las que afectan a los viajeros en Italia y en toda Europa.
El mecanismo es sencillo en su lógica, pero refinado en su ejecución.
Los delincuentes no atacan a Booking.com frontalmente, sino que lo hacen «de lado», golpeando el eslabón más vulnerable de la cadena: los establecimientos de alojamiento asociados. A través de correos electrónicos de phishing que imitan las comunicaciones oficiales de la plataforma, roban las credenciales de acceso a la extranet del hotel —el panel de gestión donde se encuentran todas las reservas activas con nombres, datos de contacto, fechas e importes de cada cliente—. Una vez dentro, los estafadores aprovechan el sistema de mensajería interno de Booking para contactar directamente con los clientes, con mensajes que parecen provenir del propio establecimiento, y sustrayendo dinero a través de mensajes muy creíbles.
En muchos casos, sin embargo, el punto de entrada está aún más arriba: la propia cuenta de correo electrónico del establecimiento. Los estafadores configuran filtros y reenvíos automáticos en la bandeja de entrada sin que el propietario del hotel se dé cuenta de nada. La presión psicológica hace el resto: el cliente recibe el mensaje por varios canales simultáneamente —correo electrónico y WhatsApp— con un ultimátum tajante: confirme en 24 horas o la reserva será cancelada. Quien está a punto de partir tiende a actuar sin verificar. Es exactamente este el mecanismo que los expertos llaman ingeniería social: no se rompe el código, se rompe a la persona.
Las víctimas son transversales: no solo personas mayores o inexpertas, sino profesionales y viajeros habituales. Altroconsumo informa de pérdidas incluso superiores a 1.500 euros por cada transacción fraudulenta.
Euroconsumers —el grupo que reúne a Altroconsumo en Italia, Test Achat en Bélgica, OCU en España y DECO en Portugal— ha enviado una notificación al Garante de Privacidad neerlandés (donde tiene su sede Booking.com) con estas peticiones: instar a Booking al cumplimiento de las normas del RGPD, destacando la ilegitimidad de la conducta en el tratamiento de los datos; ordenar a Booking que implemente medidas técnicas y organizativas sólidas; y facilitar el derecho de la víctima a la indemnización prevista en el art. 82 del RGPD.
El papel del DMARC: un escudo útil, pero no infalible
A nivel técnico, existe un estándar internacional diseñado precisamente para combatir la falsificación de correos electrónicos: el DMARC, acrónimo de Domain-based Message Authentication, Reporting and Conformance. Se trata de un protocolo de autenticación que permite al propietario de un dominio —por ejemplo, booking.com o nombrehotel.es— especificar qué servidores están autorizados para enviar correos electrónicos en su nombre, e instruir a los servidores receptores sobre qué hacer con los mensajes que no superan los controles: ignorarlos, ponerlos en cuarentena o rechazarlos por completo.
En teoría, un correo electrónico que finge provenir de Booking.com pero que se envía desde un servidor no autorizado debería ser bloqueado o terminar en la carpeta de spam antes incluso de llegar a la bandeja de entrada del destinatario. El DMARC, si se configura correctamente y con criterios restrictivos, es una herramienta eficaz contra el spoofing del remitente —es decir, la falsificación de la dirección de correo—. Pero el sistema no es infalible: en algunas configuraciones más permisivas, los mensajes no autenticados pueden entregarse regularmente. Y, sobre todo, el DMARC no puede hacer nada si el atacante ya ha obtenido acceso legítimo a la cuenta de correo del establecimiento: en ese caso, el mensaje sale de un servidor autorizado, con un dominio real, y ningún filtro lo intercepta. Por lo tanto, es una herramienta necesaria pero no suficiente.
Cómo defenderse: las reglas esenciales
La buena noticia es que defenderse es posible, siempre que se conozcan las señales de alarma y se adopten algunas precauciones sencillas:
• Desconfíe siempre de la urgencia: cualquier mensaje que inste a actuar en pocas horas, amenazando con la pérdida de la reserva, es la señal clásica de una estafa. Deténgase y verifique antes de actuar.
• Booking no utiliza WhatsApp: la plataforma se comunica exclusivamente a través de su propio chat interno. Un mensaje de WhatsApp que se hace pasar por Booking o por el establecimiento a través de Booking es casi con seguridad falso.
• No haga clic en enlaces recibidos por mensaje: verifique siempre el estado de la reserva directamente desde la aplicación o el sitio web oficial, abriendo el navegador de forma autónoma.
• Compruebe el remitente real: el nombre mostrado puede falsificarse fácilmente. Verifique la dirección de correo electrónico completa y el número de teléfono, desconfiando de prefijos extranjeros inesperados (+90, +91, +55 y similares).
• En caso de duda, llame al hotel: utilice el número que encuentre de forma autónoma en Google o en la web del establecimiento, no el que figure en el mensaje sospechoso. Informe también de lo sucedido a Booking.com.
El factor humano: el eslabón débil que debemos reforzar
Esta estafa es también el reflejo de una verdad incómoda que los expertos en ciberseguridad repiten desde hace años sin ser escuchados lo suficiente: la tecnología por sí sola no basta. Firewalls de nueva generación, sistemas EDR, protocolo DMARC —todos son herramientas valiosas, pero todas son eludibles en el momento en que una persona cede al engaño—. Toda la arquitectura del ataque se sostiene sobre un único punto de entrada: un empleado del hotel que hace clic en un enlace de phishing e introduce sus credenciales en una página falsa. Un gesto de pocos segundos que compromete la seguridad de decenas de clientes.
No es una excepción: el DBIR 2024 de Verizon indica que el 68 % de las vulneraciones involucraron un elemento humano no intencionado, incluyendo errores (como configuraciones incorrectas de la nube), uso de credenciales robadas o ser víctima de ingeniería social.
El panorama italiano es particularmente preocupante: el Informe Clusit 2025 certifica que Italia, a pesar de representar el 0,7 % de la población mundial, sufrió en 2024 el 10 % de los ciberataques registrados a nivel global, frente al 4 % de Francia y el 3 % de Alemania y el Reino Unido. La ACN —Agencia para la Ciberseguridad Nacional— registró solo en el primer semestre de 2025 un aumento del 53 % de los eventos cibernéticos respecto al año anterior, con incidentes de impacto confirmado que casi se duplicaron (+98 %) y con las campañas de phishing entre los fenómenos de mayor crecimiento. Un liderazgo negativo que refleja, entre otras cosas, un retraso cultural en la gestión de la seguridad informática a todos los niveles.
Formar a las personas: no un coste, sino la verdadera defensa
En el sector de la hostelería —pequeños hoteles de gestión familiar, B&B, casas rurales— la formación en seguridad informática es casi inexistente. No hay un responsable de TI, no existen procedimientos codificados para gestionar correos sospechosos, no se realizan simulaciones de phishing. Realidades que se convierten en objetivos ideales precisamente por esta falta cultural, antes incluso que tecnológica. También hay que desmentir un tópico peligroso: quien cae en una trampa de phishing no es necesariamente ingenuo. Los ataques modernos están diseñados por profesionales de la manipulación psicológica, optimizados en miles de variantes y logran engañar incluso a personas preparadas y expertas.
Las organizaciones que obtienen los mejores resultados adoptan enfoques concretos y continuos: simulaciones periódicas de phishing para poner a prueba al personal con escenarios reales —seguidas de sesiones informativas inmediatas para quienes cayeron en la prueba—; sesiones de actualización sobre las nuevas amenazas emergentes y, sobre todo, una cultura corporativa que premia la notificación de sospechas en lugar de castigar a quien casi se equivoca. A nivel técnico, medidas mínimas como la autenticación de dos factores obligatoria para todos los accesos a la extranet de Booking habrían evitado la gran mayoría de los incidentes descritos en este artículo. No se trata de medidas costosas o complejas: se trata de higiene digital básica.
El factor humano no es solo una vulnerabilidad: puede convertirse en la primera línea de defensa. Un recepcionista que reconoce un correo de phishing y lo reporta vale más que cualquier firewall. Invertir en la concienciación del personal —con formación continua, práctica y adaptada también a las pequeñas realidades— ya no es opcional. Es una responsabilidad concreta hacia cada cliente que reserva unas vacaciones confiando sus datos y su dinero al establecimiento. Porque las vacaciones deben seguir siendo un momento de relax, no el comienzo de una pesadilla informática.
