Viajeros, ¡cuidado! Los detalles de su reserva de hotel podrían estar comprometidos. Investigadores de seguridad han descubierto una campaña generalizada que apunta a cientos de hoteles en todo el mundo, resultando en el robo de información sensible de viajes utilizada para crear ataques de phishing altamente efectivos. Estas estafas, conocidas como "secuestro de reservas", están diseñadas para engañar a las víctimas y hacer que divulguen los detalles de sus tarjetas de crédito. **Alcance del Ataque** Según un análisis de **Norton**, al menos 350 hoteles, alquileres vacacionales, moteles y casas de huéspedes en 50 países se han visto envueltos en este esquema. Los datos robados, incluyendo nombres de reserva e información de reservaciones, se utilizan para crear mensajes de phishing personalizados que parecen legítimos, aumentando la probabilidad de que los destinatarios hagan clic en enlaces maliciosos. "Esto está realmente dirigido", dice Luis Corrons, quien lideró la investigación en **Gen**, la empresa matriz de Norton. Los sitios web de phishing analizados contenían nombres de hoteles, precios variables adaptados a cada víctima y detalles específicos de check-in/check-out. "Es spear phishing dirigido a la víctima específica con los detalles reales de la reserva". Alemania parece ser el país más afectado, seguido por Francia, el Reino Unido, Italia, España y EE. UU. Los alojamientos afectados tienen una capacidad combinada de alrededor de 80.000 huéspedes. Corrons señala que la mayoría de los establecimientos afectados son hoteles pequeños y medianos. **Phishing-as-a-Service Amplifica la Amenaza** Los hallazgos resaltan la creciente sofisticación de los ciberdelincuentes, quienes expanden y desarrollan continuamente software de "phishing-as-a-service". Estos kits les permiten enviar millones de mensajes fraudulentos haciéndose pasar por diversas marcas globales. Según datos del **FBI**, los estadounidenses perdieron más de $200 millones en ataques de phishing solo el año pasado. La investigación de Norton comenzó en diciembre después de identificar un mensaje de phishing de apariencia realista enviado a través de WhatsApp, haciéndose pasar por **Booking.com**. El mensaje incluía fechas de reserva y una solicitud para confirmar detalles a través de un enlace. Este enlace conducía a un sitio web falso con un chatbot diseñado para robar información sensible. **Cómo los Hackers Obtienen los Detalles de Reserva** Los hackers pueden adquirir detalles de reservas vacacionales a través de varios métodos, incluyendo el compromiso de sistemas de hoteles o la explotación de servicios de reserva de terceros. Pueden enviar correos electrónicos con malware al personal del hotel para robar credenciales de inicio de sesión. Investigaciones anteriores de Norton mencionaron tanto a Booking.com como al sistema de gestión hotelera **CloudBeds** como objetivos potenciales. "Hemos podido obtener algunos de los mensajes que recibe el personal del alojamiento para que sean víctimas de phishing", dice Corrons. Corrons enfatiza que no todos los mensajes de phishing son el resultado de un compromiso directo de los sistemas hoteleros. La información de otras brechas de datos o sistemas no relacionados también podría ser utilizada. "El factor común es que los delincuentes están armando el contexto real de la reserva y empujando a los viajeros a un flujo de verificación o pago falso". Si bien Norton aún está investigando a los perpetradores, parece que están utilizando kits de phishing para automatizar el proceso. La empresa ha compartido sus hallazgos con **Europol**, aunque la agencia se negó a comentar. Un portavoz de Booking.com declaró: "Continuamos fortaleciendo nuestras defensas para reducir el riesgo y limitar las oportunidades para que los malos actores ataquen a nuestros socios de alojamiento y a nuestros clientes, y estamos viendo resultados". Cloudbeds afirma que no ha sufrido una brecha y que los ataques son campañas de phishing de credenciales dirigidas al personal y a los clientes del hotel. Aaron Ownbey, vicepresidente de ingeniería de Cloudbeds, explica: "La razón por la que estas estafas son tan efectivas es que el atacante no está adivinando: sabe exactamente quién es el huésped, cuándo llega y cuánto pagó". **Estrategias de Mitigación** **Don Smith**, vicepresidente de investigación de amenazas en **Sophos**, enfatiza que los hoteles más pequeños a menudo carecen de medidas de seguridad robustas como la autenticación multifactor. Cita un incidente en el que un empleado de hotel fue engañado para descargar el info stealer **Vidar** después de hacer clic en un enlace en un correo electrónico que afirmaba ser de un huésped que perdió su pasaporte. Esto llevó al envío de mensajes fraudulentos desde la cuenta de Booking.com del hotel. "A los actores de amenazas les encanta el contexto porque el contexto hace que un señuelo de phishing sea mucho más convincente", dice Smith. Corrons aconseja a los viajeros que sean cautelosos y verifiquen cualquier mensaje sospechoso contactando directamente al hotel o al alquiler vacacional por medios alternativos. "Incluso si los datos del mensaje son reales", advierte, "eso no significa que puedas confiar en el mensaje". Ownbey recomienda que la industria hotelera eleve colectivamente su nivel de seguridad a través de una mejor capacitación para el personal de recepción, una adopción más amplia de autenticación resistente al phishing y controles más estrictos sobre cómo se accede y exporta la información del huésped desde cualquier plataforma.