Estafas en Booking, ¿hackeo? ¿tienen solución?

. Por .

Meses han pasado desde que comenzaron a aparecer los primeros reportes de víctimas de estafas a través de Booking.com. Y en estos casos los llamativo era que el mensaje de phishing era enviado utilizando el sistema de mensajería interno de Booking, el mismo que utilizamos para contactar al hotel/propiedad.

Seguro de Viajes en IATI

En Viajo.org contratamos siempre nuestro Seguro de Viajes en IATI, empresa líder en el sector y con atención en tu idioma. Haz clic en el siguiente botón, y obtén un 5% de descuento.

El engaño del check-in: de la reserva al pago fraudulento

Intrusión y Toma de Control

La campaña comienza con actores maliciosos accediendo a los sistemas de hoteles y, posteriormente, tomando control de la cuenta oficial del hotel en Booking.com. Meses atrás fueron algunas de las plataformas de gestión de reservas las que sufrieron estos ataques, exponiendo a miles de hoteles en diferentes plataformas, no solo en Booking.com

Robo de Lista de Huéspedes

Teniendo en sus manos la cuenta oficial de Booking.com, los atacantes acceden a datos sensibles de los clientes: nombres completos, fechas de reserva, detalles del hotel y métodos de pago parciales utilizados para hacer las reservaciones en la plataforma. Estos datos constituyen la base para los ataques subsiguientes, y lo que ayudan a darle mayor credibilidad a los mismos.

Engaño en la Reserva

Utilizando los datos obtenidos, los atacantes elaboran mensajes personalizados. Estos mensajes están diseñados con precisión, empleando técnicas de ingeniería social para crear un falso sentido de urgencia. Se informa a las víctimas que necesitan proporcionar nuevamente los detalles de su tarjeta de crédito como una «prueba» de verificación, con la amenaza de cancelar su reserva en 24 horas si no cumplen.

A continuación pueden ver uno de los mensajes enviados por los estafadores, que le llegó tiempo atrás a Manu, que rápidamente notó que algo estaba mal.

Enlace al Sitio Falso de Confirmación

El mensaje de los atacantes, enviado a los huéspedes a través de la plataforma de Booking.com y también por correo electrónico desde Booking.com, contiene un enlace que lleva a las víctimas a una página de phishing meticulosamente elaborada, que imita la interfaz de Booking.com. Esta página está pre-rellenada con los detalles personales de la víctima, incluyendo su nombre completo, duración de la estancia e información del hotel. La URL, diseñada para engañar aún más, sigue el patrón: ‘booking.id(números).com’, ‘booking.reserve-visit.com’, ‘booking.request-reserve.info’, etc.

Si un huésped no responde a la estafa completando sus datos, los atacantes vuelven a insistir con nuevos mensajes, y muchas veces cambiando los enlaces porque generalmente estas webs no duran mucho tiempo online.

Dado que los actores de la amenaza tienen información parcial sobre el método de pago original utilizado por los objetivos para reservar, el mensaje solicita específicamente que se proporcionen nuevamente completos (una tarjeta Mastercard, por ejemplo).

En este video de Perception Point, pueden ver como lucen estas falsas webs de confirmación de reserva, donde replican al detalle el diseño de Booking.com, y si no se presta atención a la dirección de la página cualquier persona en el apuro puede caer en la estafa tranquilamente.

La respuesta de Booking

Personalmente creo que Booking demoró demasiado tiempo en reaccionar accionando contra este tipo de estafas. Estamos hablando de un phishing, que si bien puede no ser enteramente culpa de la empresa, ya que no ha sido por una filtración de datos o hackeo directo a la infraestructura de la misma, los atacantes si están utilizando su mensajería interna.

Y no fue hasta estas últimas semanas que comenzaron a comunicar que acciones iban a tomar para intentar mitigar las estafas por esta vía.

Medidas tomadas, Primer mensaje enviado a propietarios

Tal vez ya sepas que los ataques de phishing siguen siendo un gran desafío en varias industrias, incluyendo al turismo. Tenemos el fuerte compromiso de ayudarte de forma proactiva, a vos y a tus huéspedes, a navegar online con seguridad. Para lograrlo, estamos tomando medidas adicionales.

Durante los últimos meses, estuvimos trabajando arduamente para mejorar aún más nuestras herramientas de seguridad. Vamos a implementar un número importante de funciones y controles nuevos en las próximas semanas y meses.

Medidas que tomamos para tu protección

Vamos a actualizar la autenticación de dos factores que ya existe en la app Pulse. Si solés usar la app, durante los próximos días se te va a pedir que actualices la versión de Pulse que tengas instalada.

Además, si detectamos actividad sospechosa en tu cuenta de la extranet, automáticamente vamos a deshabilitar la opción de incluir links en los mensajes que les enviás a tus huéspedes a través de nuestra plataforma. Tomamos esta medida para prevenir que los delincuentes cibernéticos puedan hacerse pasar por vos y aprovechar el canal de mensajes para enviar links de pago fraudulentos a los huéspedes, sobre todo si hubo un ataque de phishing en tu alojamiento.

Qué implica para vos que detectemos actividad sospechosa

Según la configuración que tengas, entendemos que esta medida adicional de seguridad puede causar ciertos inconvenientes y más trabajo. Sin embargo, creemos que tomar esta acción rápida cuando detectemos actividades sospechosas es lo que hay que hacer para protegerte a vos y a tus huéspedes.

  • Esperamos que esta medida te afecte en menor medida cuando los huéspedes pagan directamente en el alojamiento o cuando Booking.com se encarga del pago. Pero no vas a poder enviarles a tus huéspedes ningún link para que paguen algún gasto extra.
  • Probablemente esta medida te afecte en mayor medida en caso de reservas que se deben pagar antes de la llegada de los huéspedes al alojamiento. Si detectamos actividades sospechosas, para protegerte, ya no vas a poder enviar links de pago por adelantado a tus huéspedes. En esos casos, te recomendamos que cambies la configuración de tus pagos y que les cobres a tus huéspedes cuando lleguen al alojamiento.

Tené en cuenta que si necesitamos implementar estos bloqueos, no vas a poder incluir otro tipo de links en los mensajes que envíes a tus huéspedes, por ejemplo, un link para completar el check-in online.

Texto enviado por correo electrónico a propietarios por Booking.com. 13.11.2023

Medidas tomadas, Segundo mensaje enviado a propietarios

A principios de este mes, anunciamos las medidas adicionales que estamos implementando de manera proactiva para reforzar tu seguridad online y la de tus huéspedes. Ahora te escribimos para informarte que, a partir del 4 de diciembre de 2023, vamos a agregar otras medidas de seguridad para proteger tus cuentas de usuario de la extranet:

  • En caso de que no hayas usado tu cuenta durante seis meses, la vamos a bloquear, y la vamos a desactivar si no la usás durante 24 meses.
  • Vamos a reducir a 24 horas el tiempo que tarda en caducar la sesión de la extranet. Pasado este plazo, vas a tener que iniciar sesión nuevamente con la autenticación de dos factores.

Qué tenés que hacer

  • Iniciá sesión en tus cuentas de la extranet a más tardar el 3 de diciembre de 2023 para mantenerlas activas.

Te contamos qué tenés que hacer si no podés acceder a tu cuenta:

  • Si tu cuenta está bloqueada, podés reactivarla restableciendo la contraseña en la pantalla de inicio de sesión de la extranet.
  • Si tu cuenta está deshabilitada, comunicate con nuestro equipo de Atención al Cliente para que podamos ayudarte. Recordá que, con el objetivo de protegerte a vos y a tus huéspedes, vamos a tener que realizar una serie de verificaciones antes de reactivar tu cuenta.

Estas dos medidas nuevas se suman a las que ya anunciamos a principios de mes: la actualización de la autenticación de dos factores en la app Pulse y la desactivación de los links en los mensajes que les envíes a tus huéspedes a través de nuestra plataforma si detectamos actividad sospechosa en tu cuenta de la extranet.

Texto enviado por correo electrónico a propietarios por Booking.com. 22.11.2023

Medidas tomadas, alertas para los huéspedes

Un ejemplo de las acciones realizadas para proteger a los usuarios, es este mensaje que ahora aparece, tanto para huéspedes como propietarios, aconsejando a no compartir información confidencial o sensible por esa vía.

Enero 2024: Nueva configuración de seguridad

Booking ha implementado nuevas características para continuar mitigando este tipo de fraudes

Como parte de nuestros esfuerzos continuos por resguardar tanto tu seguridad online como la de tus huéspedes, agregamos una herramienta nueva para proteger los mensajes con tus huéspedes contra ataques de phishing. Esta medida está diseñada para que puedas controlar mejor tu sistema de mensajería con los huéspedes, ya que es un canal que los ciberdelincuentes suelen usar para hacerse pasar por un alojamiento.

En la configuración de seguridad del sistema de mensajería, ahora podés especificar desde qué direcciones de e-mail se les puede escribir a tus huéspedes y qué links se pueden incluir en los mensajes. Una vez que actives esta configuración de seguridad, no va a ser posible comunicarse con tus huéspedes desde direcciones de e-mail que no estén autorizadas y los links que no hayas aprobado se van a bloquear.

Esta capa adicional de seguridad evita que los mensajes con los huéspedes se usen de forma indebida. Tené en cuenta que solo vas a tener acceso a esta configuración si tenés derechos de administrador para tu cuenta de la extranet.

Texto enviado por correo electrónico a propietarios por Booking.com. 18.01.2024

Y así lucen los nuevos ajustes en la plataforma:

Y este es el mensaje que nos aparece al configurar una dirección de correo o los enlaces aprobados.

¿Hay solución?

La respuesta más honesta y realista es no, porque siempre surgirán nuevas modalidades que aprovechen la confianza de los usuarios para hacerse de sus datos. Pero si creo que Booking podría hacer aún más para intentar reducir drásticamente la rentabilidad de estas estafas a través de su plataforma.

Quizás aún no lo implementa porque espera ver si con lo realizado este mes, logran reducirlas un poco, pero definitivamente deberían haber sido más proactivos en alertar a sus usuarios meses atrás, y no cuando ya miles de personas en todo el mundo fueron víctimas de esta estafa.

Más información

Los amigos de Info Viajera reportaron esto hace tiempo ya en su blog:

Alarmante hackeo a Booking.com, gran peligro (por poco caigo)
https://www.infoviajera.com/2023/01/alarmante-hackeo-a-booking-com-gran-peligro-por-poco-caigo/
Booking se contactó por el peligrosísimo hackeo que puso en real peligro a sus clientes
https://www.infoviajera.com/2023/02/booking-se-contacto-por-el-peligrosisimo-hackeo-que-puso-en-real-peligro-a-sus-clientes/

En inglés, nota en Perception Point:
Booking.com Customers Hit by Phishing Campaign Delivered Via Compromised Hotels Accounts
https://perception-point.io/blog/booking-com-customers-hit-by-phishing-campaign-delivered-via-compromised-hotels-accounts/

Foto del autor

Martín Aberastegue

Blogger de viajes desde 2007 por pasión y especialista en marketing y tecnología por profesión.
Actualmente trabajo como Lead SEO & SEA Manager en Pets Deli, en Berlin (Alemania).

Descuentos y promociones

🚶‍♂️ Reservá los mejores tours gratuitos y excursiones para tu viaje en Civitatis.

🏥 5% OFF en tu Seguro de Viaje IATI. La empresa que utilizamos en todas nuestras aventuras.

📱 Viajá siempre conectado/a, comprá tu eSIM en Holafly. ¡Con el cupón VIAJOBLOG tenes 5% OFF!

✈️ 10€ de Descuento en Omio en tu primer viaje.

🚗 🇦🇷 Alquila tu Auto en BookingCars. Con el cupón VIAJO obtenes un 5% de Descuento en tu reserva.