Soy un experto en viajes, pero la estafa del anfitrión de Booking.com casi me atrapa.

Mientras mi pulgar se cernía sobre el enlace, el investigador de Rogue Traders de la BBC, que amablemente estaba sentado a mi lado, dijo: «Estoy bastante seguro de que es una estafa . Bloquea el número y no hagas clic en el enlace».

Hice lo que me aconsejaron y sentí alivio al esquivar una bala, seguido de una punzada de vergüenza por haber estado a punto de caer en una estafa de viajes. Eso no quedaría bien, dado mi puesto y el hecho de que estaba en un evento de viajes rodeado de colegas cuando llegó el mensaje.

En mi defensa, fue bastante convincente. El mensaje de WhatsApp llegó con mi nombre y foto adjuntos justo después de un breve intercambio con el anfitrión en Booking.com. El responsable de relaciones con los huéspedes mencionó dónde y cuándo iba, y cuándo hice la reserva. Me aseguraron que todo iría bien con la reserva siempre que pudiera confirmar que no habían robado los datos de mi tarjeta, algo que el sistema de Booking.com les había indicado como una posibilidad.

¿Ha sido víctima de una estafa de viajes? Nos encantaría saber de usted. Envíe un correo electrónico a [email protected]

Un rápido clic en el enlace para confirmar mis datos y me iré de vacaciones como estaba previsto. No hay problema, prometieron.

Hice captura de pantalla de los mensajes y bloqueé la cuenta, repitiendo el proceso para el "administrador principal de los apartamentos", quien luego hizo seguimiento en nombre de su colega.

En este caso, se evitó una estafa, pero aún quedan muchas preguntas. ¿Cómo consiguieron mis datos? ¿Cuánto habrían robado si hubiera hecho clic en el enlace? ¿A cuántas personas más se dirigen de esta manera?

La respuesta a la primera pregunta llegó varios días después de explicarle lo sucedido a Booking.com. Un representante de atención al cliente se disculpó antes de culpar al proveedor de la brecha de seguridad, diciendo que seguramente su propio sitio web estaba infectado con malware, lo que permitió a los hackers acceder a mi información.

Esto supone un problema para sitios web como Booking.com, que redirigen a los clientes a sitios web de terceros. Estos suelen estar gestionados por propietarios de hostales o alquileres vacacionales con una sola propiedad, quienes probablemente no dispongan de los mismos recursos de seguridad que una importante agencia de viajes.

Un factor que potencialmente aumenta los problemas de seguridad es el hecho de que toma menos de 15 minutos crear una página de alojamiento en Booking.com, sin necesidad de mostrar un pasaporte o una identificación oficial.

En cuanto a la segunda y tercera preguntas, las cantidades robadas y el número de víctimas son significativos. La estafa lleva años en marcha, y la organización británica Action Fraud ha recibido 532 denuncias de particulares, con un total de 370.000 libras esterlinas perdidas entre junio de 2023 y septiembre de 2024.

Entre ambos, han perdido más de 370.000 libras. También podrían haber sido víctimas de una vulneración de sus derechos de datos. Hace varios años, Booking.com recibió una multa de 475.000 euros por no tomar medidas tras una infracción del RGPD.

En todo caso, el problema parece estar empeorando. El pasado junio, Booking.com admitió que se había producido un aumento de entre el 500 % y el 900 % en las estafas realizadas en la plataforma en los 18 meses anteriores.

En 2023, la Dra. Leigh Jones, académica de la Universidad de Oxford , le contó al Mirror cómo había perdido más de £1.000 a manos de estafadores después de reservar varias habitaciones de hotel para su familia antes del día de su boda en Vietnam.

"Fue una estafa de phishing realmente impresionante. Después de esto, no volveré a usar Booking.com. ¿Por qué no hay ninguna advertencia en su sitio web? Recomiendo a la gente que busque otra forma de reservar vacaciones", declaró al Mirror en aquel momento.

A principios de este año , Which? descubrió que algunos clientes de Booking.com habían sido contactados por estafadores a través de la aplicación oficial de la empresa, lo que hacía mucho más difícil distinguirlo de un mensaje genuino de un anfitrión.

Los estafadores no sólo pierden dinero, sino que también están causando grandes dolores de cabeza a los operadores de alojamiento.

Balaram Thapa dirige un hotel en Katmandú, Nepal. Recientemente, uno de sus clientes fue víctima de una estafa de phishing.

"Uno de nuestros huéspedes reservó una habitación en nuestro hotel a través de Booking.com, recibió una confirmación y, posteriormente, un mensaje aparentemente nuestro, solicitándole que reconfirmara su pago mediante un enlace externo. Parecía completamente legítimo, con el nombre del hotel y los datos de la reserva incluidos", explicó el hotelero.

El huésped pagó a través del enlace falso y solo se dio cuenta de que era una estafa cuando llegó.

Fue una situación frustrante tanto para el huésped como para nuestro equipo. No solo perdieron dinero, sino que también dañaron su confianza en el proceso de reserva y en nosotros, a pesar de no haber participado en la estafa. Me ha quedado claro que los viajeros deben ser especialmente cautelosos con los mensajes que reciben, incluso si parecen provenir de plataformas de reserva oficiales.

Balaram contactó con Booking.com y le informaron que la cuenta del hotel podría haber sido vulnerada. Le aconsejaron cambiar la contraseña. "No ofrecieron ninguna ayuda ni compensación", añadió el gerente de hospitalidad. Para ayudar al cliente, Balaram le ofreció un descuento del 50% en su estancia. "Fue una pérdida para ambas partes, pero hicimos todo lo posible por solucionarlo", dijo.

Sean Malloy es un abogado estadounidense que ha representado a víctimas de estafas de phishing en los tribunales y ha ofrecido algunos consejos para aquellos que temen ser engañados.

"He lidiado con numerosos casos de estafas de phishing que resultaron en pérdidas financieras o emocionales. Cuando plataformas como Booking.com son suplantadas, los consumidores suelen quedar desprevenidos, sobre todo porque la comunicación puede parecer tan legítima", declaró al Mirror.

Para protegerse, los viajeros NUNCA deben hacer clic en ningún enlace de pago enviado por correo electrónico o SMS, y siempre deben verificar las reservas y solicitudes mediante la aplicación o el sitio web. Activen la autenticación de dos factores siempre que puedan y revisen sus cuentas periódicamente para detectar indicios de piratería.

Un portavoz de Booking.com declaró al Mirror: «Si bien podemos confirmar que los sistemas de Booking.com no han sido vulnerados, sabemos que algunos de nuestros socios de alojamiento y clientes se han visto afectados por ataques de phishing perpetrados por delincuentes profesionales. Lamentablemente, el fraude en línea es una batalla que enfrentan muchos sectores, y en Booking.com nos comprometemos a abordar este problema de frente».

Contamos con sólidas medidas de seguridad e invertimos continuamente en tecnologías avanzadas, como inteligencia artificial y aprendizaje automático, para detectar y bloquear la gran mayoría de las amenazas antes de que tengan un impacto. En cuanto se detecta una inquietud, nuestros equipos de seguridad la investigan de inmediato y colaboran con nuestros socios para proteger sus cuentas lo antes posible.

El portavoz aconsejó a los clientes preocupados por los mensajes de pago que revisen cuidadosamente la política de pago en la confirmación de su reserva para asegurarse de que el mensaje sea legítimo. En caso de duda, lo mejor es contactar con nuestro equipo de atención al cliente o hacer clic en "Informar de un problema" en el chat. Es importante destacar que nunca pediremos a un cliente que comparta información de pago por correo electrónico, chat, SMS ni teléfono. Si el cliente tiene alguna duda sobre los pagos con tarjeta de crédito, debe contactar con su banco para obtener más ayuda.

Al igual que muchas empresas del sector del comercio electrónico, nosotros y nuestros socios podemos ser objetivos atractivos para los ciberdelincuentes. Sin embargo, gracias a nuestras sólidas medidas, considerando nuestro alcance global y los millones de reservas que gestionamos semanalmente, los incidentes reales son poco frecuentes. Invertimos continuamente en tecnologías avanzadas, como inteligencia artificial y aprendizaje automático, para detectar y bloquear la gran mayoría de las amenazas antes de que tengan algún impacto. En caso de que se confirme el robo de la cuenta de un socio, informamos a los huéspedes por correo electrónico con una advertencia sobre la posibilidad de recibir mensajes de phishing.

Nos tomamos muy en serio la verificación de los alojamientos. Si bien los socios pueden registrarse en menos de 15 minutos, se someten a múltiples controles y verificaciones durante el registro, después del envío y antes de que sus alojamientos estén disponibles para reservar.