ya ha llegado a españa

"Pensé que hablaba con mi hotel en Booking y casi me roban 2.300€": así es el timo casi perfecto

Ya no es que los criminales te envíen un mail disfrazado o un SMS desde un número falso, es que se cuelan en la propia plataforma. "Estuve a un clic de caer", admite un informático español que explica cómo funciona

Logo de Booking. (Reuters/Dado Ruvic)

Las claves

YA VAN VARIOS CASOS

La estafa que llega por WhatsApp: "Le pasa a mucha gente, pero no lo cuentan por vergüenza"

Antonio Villarreal Michael Mcloughlin

Por

M. Mcloughlin

17/12/2023 - 05:00

EC EXCLUSIVO Artículo solo para suscriptores

Es muy probable que cualquiera de los que lea estas líneas haya recibido en los últimos meses un mensaje de texto que le decía que Correos no podía entregarle un paquete porque la dirección estaba incompleta. También hay bastantes papeletas de que a más de uno le hayan abordado por WhatsApp desde un número desconocido diciendo que es su hijo, que su móvil está KO y que necesita urgentemente una transferencia o que le haya escrito alguien con la foto de perfil de una jovencita china preguntándole si usted es el guía para sus vacaciones en Madrid.

Las estafas en internet están a la orden del día y todos estos son ejemplos de las caretas que utilizan los ciberdelicuentes para intentar aprovecharse de la inocencia e ingenuidad de algunos usuarios para hacerse con sus datos personales o su información bancaria. En estos casos basta con estar un poco alerta para no picar (y a pesar de ello algunos lo hacen). Pero ¿qué pasaría si el mensaje en vez de venir de parte de un desconocido se lo envía el hotel a través de la aplicación oficial con la que acaba de reservar un fin de semana o unas vacaciones?

Esto es lo que le ocurrió a Juan Pablo Cid, un informático madrileño de 45 años de edad, que hace unos días estuvo a punto de ver cómo se esfumaban más de dos mil euros de su cuenta corriente por una estafa en Booking. El timo no consistía en que el alojamiento no existiese o que le llegase un mail intentando imitar la estética del establecimiento y de la página. El hotel que había reservado era real y los mensajes le llegaban por los canales oficiales.

"Yo pensé que hablaba con mi hotel por el chat de Booking y casi me estafan 2.300 euros. Estuve a un clic de que ocurriese", cuenta este usuario. Cid había reservado unas noches de hotel de una conocida cadena en Wroclaw (Polonia) a través de dicha plataforma. Cuando quedaban siete días recibió un correo electrónico de la misma dirección que le había confirmado la reserva cuando la realizó y un mensaje a través de la app para móviles. Le informaban de que había un problema con la verificación de su cuenta corriente y que en las próximas 24 horas debía proceder a realizar el pago o perdería la reserva.

"De lo más logrado que he visto"

En el mensaje se le avisaba que era una medida "para evitar el fraude" con la tarjeta de crédito. "Por mi trabajo siempre estoy con la alerta puesta. No hubo, de primeras, nada que llamase la atención. Mencionaban el establecimiento, estaba escrito perfectamente y no había faltas de ortografía ni malas traducciones como en otros timos. Pero al final lo recibes por la app y con un correo oficial, juegan con esa confianza. Es una de las cosas más sofisticadas que he visto", insiste Juan Pablo, que pinchó el enlace que le habían enviado en el aviso. Se abrió entonces una pasarela de pago que "imitaba perfectamente la estética de la página".

"Incluso había un chat en vivo, no sé si sería un bot o una persona real, que supuestamente me resolvía dudas y demás. Todo muy logrado", recuerda. Solo hubo un detalle que le llamó la atención: el enlace de pago solo funcionaba en el móvil, no en el navegador del ordenador.

"Cuando ya tenía el número metido y tenía que confirmarlo todo, se me encendió la bombilla". Llamó al establecimiento y preguntó. Unos minutos de conversación después, los responsables comprobaron que los mensajes evidentemente se habían enviado a través de las herramientas que Booking proporciona a estos negocios y le advirtieron que no hiciese la transferencia. Como ya había introducido los datos de la tarjeta, procedió a cancelarla y todo quedó en un susto. "Tuve suerte porque se me ocurrió llamar y porque al final me manejo en inglés. Pero qué ocurre si no lo hablas o tienes una reserva de hotel en China y no te puedes comunicar de forma rápida con ellos. Imagino que hay muchas personas que se lo han tragado", agrega. "Está muy conseguido. Incluso 12 horas después, cuando ya sabía todo, volví a recibir un mensaje a modo de recordatorio diciéndome que el plazo se acababa en poco tiempo".

Aunque en nuestro país esta estafa no había dado tanto que hablar como otras, en otros países sí que se han reportado casos y los testimonios de algunas de las víctimas se hicieron virales en diferentes redes sociales. El periódico inglés The Guardian recogía hace semanas algunos testimonios de personas que habían sufrido episodios similares a los del informático madrileño e incluso habían picado.

Colarse en los hoteles

La empresa ha asegurado en repetidas ocasiones que sus sistemas no han sido hackeados. Si esto no ha ocurrido, ¿cómo han conseguido los ciberdelicuentes enviar sus campañas de phising a través de la app? Pues haciéndose con las credenciales de los hoteles.

La consultora de ciberseguridad Secureworks publicó hace poco una investigación en la que recogía cuáles eran las técnicas que utilizaban para lograr engañar a los trabajadores de los establecimientos. El estafador envía un mail a una de las direcciones de correo que el hotel tenga publicadas en internet. Las excusas pueden ser variadas. Puede contar que es un antiguo huésped y que se ha olvidado algo en la habitación o puede contar que dentro de unos días se va a alojar allí y que necesita algo de información.

Una de las cosas que hacen es que en ese primer contacto el correo no incluye más que texto. No hay enlaces ni adjuntos para evitar que los sistemas de seguridad alerten sobre el contenido. Una vez ya ha establecido la comunicación y se le detecta como un remitente de confianza, al de unas horas o unos días se envía un correo, con un enlace o un archivo descargable desde plataformas como Drive o WeTransfer. Muchas veces el archivo viene "protegido con clave" para añadir más legitimidad y así crear una "falsa sensación de seguridad" en las víctimas.

Los ciberdelicuentes intentan aprovecharse de los errores de los empleados. (EFE/Wu Hong)

En la investigación de Secureworks aparece un caso que el estafador se hace pasar por un turista que perdió su documentación. En el segundo correo envió una supuesta foto del pasaporte y otros datos. Al abrir el archivo ZIP, lo que hizo el trabajador es activar un malware conocido como Vidar, que obtuvo las claves de Booking que el establecimiento utilizaba para gestionar las reservas a través de dicha web. "El día después de que se ejecutara el software, un empleado se percató que se habían enviado varios mensajes a los próximos clientes desde la cuenta del hotel", reza el informe. Poco después empezaron las llamadas de los huéspedes, quejándose de que su dinero había desaparecido.

La duda que queda aquí es saber quién paga los platos rotos en el caso de que la estafa llegue a consumarse. Samuel Parra, abogado experto en protección de datos, señala que es el establecimiento hotelero el que tiene la obligación de salvaguardar las contraseñas y evitar "accesos ilegítimos". "Ellos tienen que cuidar que nadie se haga con esas claves. Así que llegado el caso a la plataforma no se le podía reclamar nada. Se podría reclamar al hotel", explica el letrado. "Es un caso muy similar al que cuando los bancos son condenados porque un cliente suyo ha sido estafado y se demuestra que no tenían medidas de seguridad lo suficientemente fuertes".

Viajes

El redactor recomienda