Los ciberdelincuentes han encontrado un nuevo filón en las reservas turísticas. En plena temporada alta, viajeros que han contratado habitaciones a través de plataformas digitales están recibiendo mensajes aparentemente enviados por sus alojamientos. Los remitentes conocen sus nombres, las fechas exactas del viaje e incluso el establecimiento en el que pasarán la noche. Todo parece real. Pero no lo es.El origen de algunos de estos intentos de fraude se encuentra en el ciberataque sufrido el pasado mes de abril por la plataforma de reservas Booking. Como consecuencia de este incidente, algunos usuarios sufrieron el robo de información relacionada con sus viajes y ahora están comprobando cómo esos datos pueden ser utilizados para engañarlos.La compañía reconoció el acceso no autorizado a datos personales, teléfonos, correos electrónicos y detalles de reservas de algunos de sus usuarios. Una información especialmente delicada porque permite al delincuente construir comunicaciones muy convincentes.Con nombres, números de teléfono, direcciones de correo electrónico y datos reales de las estancias, los estafadores pueden hacerse pasar por el hotel o por la propia plataforma. A partir de ahí, solicitan pagos adicionales, piden modificar determinada información o inventan incidencias.Para el usuario resulta muy difícil sospechar que se encuentra ante un ataque de phishing. Esta técnica de ingeniería social es utilizada por los ciberdelincuentes para engañar a sus víctimas y robar información confidencial, como contraseñas, datos bancarios o números de tarjetas de crédito. En plena temporada alta, los delincuentes también recurren a herramientas de inteligencia artificial para elaborar mensajes y páginas cada vez más realistas. Es lo que le ocurrió a Patricia, una vecina de El Puerto que había reservado una habitación en un hostal de Madrid.Unas semanas antes de su viaje recibió un mensaje de WhatsApp enviado por una persona identificada como Voll Demos, desde un número de teléfono de Brasil. “Nos ponemos en contacto con usted respecto a su reserva. Soy Diana, responsable de su proceso de check-in”, comenzaba la comunicación.Mensaje de WhatsApp recibido.“El sistema del hotel requiere una verificación obligatoria de la información del huésped. Este paso también es necesario para las reservas que ya han sido pagadas”, continuaba el mensaje. A continuación, advertía de que “la verificación es gratuita y no modifica las condiciones de su estancia” y facilitaba un enlace para acceder a un supuesto chat de soporte del hotel.“Le rogamos completar la verificación dentro de 12 horas para mantener su reserva activa”, concluía el mensaje. La comunicación incluía información auténtica sobre la estancia, por lo que la mujer no sospechó inicialmente que podía tratarse de una estafa.“Me pilló despistada y, como en ese momento tenía pendiente el pago y no recordaba cuál era el método, pues caí”, comparte la mujer con lavozdelsur.es. Patricia accedió al enlace y pagó con su tarjeta un importe de 150 euros.Según los pasos que aparecían durante el supuesto proceso de verificación, la primera solicitud dejaba el importe retenido de manera temporal y una segunda operación debía liberarlo de nuevo. Sin embargo, tras completar todo el procedimiento, la página quedó bloqueada y la usuaria no pudo continuar.La mujer escribió entonces al supuesto servicio de atención. “Si sigue igual después de haber aprobado las dos solicitudes, deja la página abierta un momento más y abre el chat de soporte que aparece abajo a la derecha en el mismo enlace. Ahí pueden revisar el estado exacto y ayudarte con ese bloqueo”, le respondieron.El chat tampoco funcionaba. Fue en ese momento cuando Patricia comenzó a revisar con más atención la dirección de la página web. “Claramente era una ciberestafa. No me había dado cuenta porque la web era exactamente igual que la de Booking, estaba muy conseguida. Cuando me metí la segunda vez, ya vi que la URL era distinta”, sostiene.Página web falsa de Booking.La mujer bloqueó inmediatamente la tarjeta e interpuso la correspondiente denuncia ante la Policía. Según explica, finalmente ha podido recuperar íntegramente los 150 euros.El hostal confirma el acceso ilícito a las reservasA los pocos días de haber sufrido la estafa, Patricia recibió un correo electrónico del hostal en el que reconocía la existencia de un incidente de seguridad.“Estimado cliente: Mediante este documento le informamos que se ha producido incidente de seguridad que ha afectado a los datos que tratamos sobre usted en las siguientes circunstancias”, comenzaba el aviso.El alojamiento explicaba que, “a causa de un ciberincidente”, había detectado un acceso ilícito a su sistema de reservas. El ataque habría permitido consultar datos correspondientes a estancias comprendidas entre el mes de junio de 2026 y enero de 2027.“Concretamente, los datos afectados son: datos identificativos y de contacto, dirección postal, datos del documento de identidad, fecha de emisión, caducidad y país emisor, número de teléfono y detalles de la propia reserva, como estancia, fechas y número de reserva”, detallaba el establecimiento.El correo también advertía de las posibles consecuencias de la filtración. “Al haberse expuesto datos de su DNI/Pasaporte y dirección, existe el riesgo de que terceros intenten utilizar esta información para suplantación de identidad o para dirigir comunicaciones fraudulentas por correo postal o telefónico utilizando los datos de su estancia”, señalaba.El hostal recordaba además que “la entidad en ningún caso realizará comunicaciones con usted a través de WhatsApp u otras aplicaciones de mensajería instantánea”. También precisaba que el importe de la estancia se cobra el día de la llegada y que nunca solicitará información de pago mediante otras plataformas.Desde el momento en que se detectó el incidente, el establecimiento asegura que activó sus protocolos de seguridad, subsanó la vulnerabilidad del sistema para detener el acceso no autorizado y notificó formalmente la brecha a la Agencia Española de Protección de Datos. También indicó que estaba colaborando con las autoridades policiales y con expertos en ciberseguridad para auditar la integridad de sus sistemas.Como medida de precaución, el alojamiento aconsejó a sus clientes permanecer atentos a cualquier comunicación inusual que hiciera referencia a su estancia o solicitara datos bancarios adicionales. También recomendó revisar periódicamente que no se hubieran realizado contrataciones o acciones a su nombre sin su conocimiento.Otros alojamientos alertan de intentos de fraudeEste caso no es aislado y está cada vez más extendido. SmartRental Group también ha difundido un correo electrónico entre sus clientes ante el aumento de los intentos de fraude relacionados con reservas hoteleras.SmartRental Group es una compañía dedicada a la gestión de activos mixtos, con más de 3.000 unidades de alquiler vacacional y hoteles en Europa. Cuenta con más de 25 activos en propiedad, renta y gestión en ocho de las principales ciudades de España, Portugal y Hungría.“Hemos detectado un incremento de intentos de fraude dirigidos a clientes del sector hotelero. Algunos de estos ataques consisten en el envío de correos electrónicos, mensajes SMS, WhatsApp o llamadas telefónicas que suplantan la identidad de SmartRental, de nuestros establecimientos o de plataformas de reservas, con el objetivo de obtener datos personales o conseguir que los clientes realicen pagos fraudulentos”, advierte la compañía.SmartRental señala que estas comunicaciones pueden parecer completamente auténticas, incluir información sobre la reserva, utilizar el nombre y los logotipos de la empresa o incluso aparentar que proceden de direcciones de correo legítimas.La compañía insiste en que nunca solicitará el pago de una reserva mediante un enlace enviado por correo electrónico, SMS o WhatsApp sin que el cliente haya confirmado previamente la operación. Tampoco pedirá un pago urgente para evitar la cancelación inmediata de una estancia ni solicitará contraseñas, códigos de verificación o credenciales de acceso.SmartRental también aclara que no pedirá modificar la cuenta bancaria de un pago sin haberlo comunicado previamente a través de sus canales oficiales. En caso de recibir una solicitud de este tipo, recomienda no abrir enlaces, archivos, documentos o imágenes adjuntas, no descargar contenido, no responder al remitente y no facilitar datos personales o bancarios.“La ciberdelincuencia utiliza técnicas cada vez más sofisticadas y cualquier usuario puede ser víctima de una suplantación convincente. Por ello, te pedimos que no realices ningún pago ni facilites información personal sin verificar previamente que la comunicación procede realmente de SmartRental”, concluye el aviso.Los especialistas recomiendan contactar directamente con el alojamiento unos días antes del viaje para comprobar el estado de la reserva. También aconsejan desconfiar de cualquier mensaje que solicite pagos adicionales fuera de los canales oficiales, así como de correos o comunicaciones que reclamen transferencias urgentes o actualizaciones de datos bancarios, aunque incluyan información real sobre la estancia contratada.