El inicio del verano dispara las estafas de phishing contra el sector turístico
- Seguridad
En solo una semana se han detectado más de 45.000 correos maliciosos que suplantan a Booking.com. Los ciberdelincuentes utilizan falsos avisos de cancelación de reservas para guiar a las víctimas hacia la descarga de malware.
La llegada de la temporada alta turística vuelve a situar al sector en el punto de mira del cibercrimen. Según Hornetsecurity, el inicio del verano ha provocado un repunte significativo de las campañas de phishing dirigidas a clientes, agencias de viajes, operadores y empresas de servicios turísticos. Solo en una semana, la compañía ha identificado más de 45.000 correos maliciosos que aparentaban proceder de Booking.com, uno de los ganchos más utilizados por los atacantes.
Los delincuentes envían un correo convincente, con marca reconocible y tono tranquilizador, que anuncia la cancelación de una reserva. A partir de ahí, la víctima es guiada por una cadena de supuestos pasos de verificación que culminan en la descarga de malware.
Las campañas actuales combinan suplantación de identidad, ingeniería social y distribución de malware con un nivel de sofisticación creciente.
Así funciona la nueva ola de phishing turístico
Los atacantes explotan la confianza del usuario en marcas conocidas. El correo fraudulento incluye un aviso de cancelación y una recomendación aparentemente inocente, comprobar que la URL parece legítima. Esta táctica reduce las sospechas y refuerza la ilusión de autenticidad.
Cuando la víctima hace clic, se encuentra con una página de CAPTCHA falsa, un elemento familiar que aumenta la credibilidad del proceso. Después aparece un mensaje de verificación que solicita copiar y pegar un comando en el símbolo del sistema. Al ejecutarlo, el atacante obtiene acceso remoto completo al dispositivo.
Para evitar este tipo de fraudes se recomienda no confiar únicamente en el branding del correo; no copiar comandos desde una web, por muy oficial que parezca; verificar cancelaciones directamente en la plataforma oficial; y escalar cualquier mensaje sospechoso al departamento de TI. Se recuerda asimismo que un CAPTCHA no garantiza seguridad.
El incremento de estas campañas confirma la necesidad de un enfoque de seguridad integral que combine tecnología avanzada y formación continua del personal.
