A estas alturas del año, seguro ya has elegido el destino para tus merecidas vacaciones. Y es posible que hayas leído decenas de reseñas de hoteles, comparado precios y hasta reservado una habitación. Pero antes de coger la maleta, conviene que sepas qué es el reservation hijacking y cómo te afecta si vas a viajar este año.
Reservation hijacking: ¿en qué consiste esta modalidad de fraude?
¿En qué consiste el reservation hijacking? No implica que alguien haya robado tu maleta o suplantado tu identidad física. Es mucho más sutil y, si se quiere, más peligroso, porque ocurre en el plano digital. Todo comienza así: el atacante obtiene acceso a la confirmación de tu reserva de hotel, vuelo o alquiler de coche… más adelante explicamos cómo.
Una vez que obtiene esos datos, el atacante contacta directamente con el establecimiento mediante llamada, email o chat interno de la plataforma. Haciéndose pasar por ti, solicita cambios en la reservación: cancelación total, cambio de fechas, modificación del titular o peor, cambio de método de pago para “validar la tarjeta”.
Finalmente, cuando el hotel modifica o cancela la reserva a petición del estafador, tú te quedas sin servicio. Casi siempre, el estafador intenta redirigir el reembolso a una cuenta propia: este es el principal objetivo del reservation hijacking. Pero puede que te preguntes: ¿cómo logra el atacante hacerse con los datos de tu reserva?
¿Cómo consigue el atacante tus datos de reservación?
Para ejecutar un reservation hijacking, o secuestro de reservación, el ciberdelincuente necesita conocer los datos de tu reserva. ¿Cómo consigue hacerse con ellos? No necesita hackear servidores ni romper algoritmos de cifrado complejos. Es más fácil de lo que debería: mediante técnicas de ingeniería social y filtraciones de datos masivas.
Hablando de esto último, no es raro que ocurran filtraciones de datos en agencias de viaje y plataformas de reservas. Estos datos acaban en la dark web, en donde los criminales los compran por paquetes. Allí están miles de números de reserva, nombres de huéspedes, hoteles y fechas… mucha de la información que se necesita para orquestar el ataque.
Otras veces, en vez de atacar al viajero, el delincuente se dirige a los sistemas del hotel. Se concentran en pequeños alojamientos rurales o cadenas económicas, que son las que suelen tener sistemas de gestión más vulnerables. Si consigue acceder a su panel, podrá ver todas las reservas futuras y los datos de contacto de los huéspedes.
No es teoría. En 2023, la cadena de hoteles Marriott alertó sobre un aumento del 300% en intentos de reservation hijacking en sus propiedades europeas. Ese mismo año, Booking.com admitió que miles de usuarios habían sido contactados por atacantes a través del chat interno de la plataforma. Y un año antes, en 2022, la Guardia Civil desarticuló una banda que había secuestrado más de 500 reservas en hoteles de la Costa del Sol, España.
Ataques de phishing e infección de dispositivos
Otra manera de conseguir datos de reserva es mediante el phishing. El viajero recibe un correo que parece legítimo de tu agencia de viajes: «Su reserva requiere verificación urgente» o «Su tarjeta ha sido rechazada». Al hacer clic en el enlace falso, introduces tus credenciales de la cuenta y, sin saberlo, le entregas al atacante el acceso total a tus itinerarios.
Y peor es si, a través del medio que sea, tu móvil u ordenador caen víctimas de un malware, como un keylogger o un troyano bancario. Estos programas maliciosos son capaces de capturar correos de confirmación y las claves de acceso que lleguen a tus dispositivos. Con esto, el daño que puede causar un delincuente digital es mucho más grande y difícil de detectar.
Reservation hijacking: ¿cómo te afecta si vas a viajar?
Ser víctima de un reservation hijacking puede dejarte un saber muy amargo apenas comiencen tus soñadas vacaciones. Esta estafa suele descubrirse en el momento más inoportuno: el mostrador de facturación o el lobby del hotel. Y el impacto no es meramente económico, aunque es el que más duele. Veamos cómo te afecta si vas a viajar:
- La pérdida total de la reserva es lo más común. Llegas al hotel y no hay habitación. El recepcionista te dirá que tú mismo cancelaste la reserva hace unos días, o que alguien más hizo el check-in en tu nombre. Y no hay oportunidad de reclamo si el empleado actuó de buena fe con los datos que el estafador proporcionó.
- Si la reserva es reembolsable, lo más seguro es que el criminal consiga que el hotel redirija el dinero a una cuenta bancaria o billetera virtual difícil de rastrear.
- En otros casos, el secuestrador puede realizar cargos adicionales a tu tarjeta de crédito guardada en el perfil de la plataforma.
- Lo más peligroso es el robo de identidad y datos sensibles, como tu nombre completo, fecha de nacimiento, número de pasaporte e incluso información sobre tus acompañantes. Esos datos son oro puro para realizar estafas más tarde o abrir cuentas fraudulentas.
Lo que puedes hacer para protegerte del reservation hijacking
Puesto que se trata de un peligro real, conviene tomar algunas medidas este verano para protegerse el reservation hijacking, o secuestro de reservación. Las más efectivas son las siguientes:
- No publiques fotos de tu reserva en redes sociales. Por ejemplo, la gente publica cosas como «¡Qué ilusión, ya tengo la confirmación del hotel para este verano»!, con el número de reserva y código visible. ¡En bandeja de plata para los estafadores!
- Usa contraseñas únicas y fuertes en las plataformas de viaje, y activa siempre la autenticación de dos factores siempre que esté disponible.
- Desconfía de correos o mensajes que te pidan «verificar» datos de pago. En esos casos, es mejor ir al sitio web oficial del hotel o llamar directamente.
- Contacta con el hotel directamente después de reservar, sobre todo si es un alojamiento pequeño. Diles algo como: «He hecho una reserva con el número X. Por favor, no acepten cambios de fecha o cancelaciones sin hablar conmigo personalmente por teléfono y con una contraseña secreta que acordemos».
- Elige siempre que puedas el pago en el hotel. Así, si ocurre un resevation hijacking, el estafador no podrá obtener un reembolso.
¡Ya lo tienes! No permitas que nada arruine ese viaje por el que tanto has esperado. Sin duda, querrás relajarte en tus vacaciones, pero antes mantente alerta y sigue las recomendaciones anteriores. Así, cuando acaben tus vacaciones, no tendrás el mal recuerdo de haber sido víctima del reservation hijacking.
Desde muy joven he sentido una gran curiosidad por todo lo relacionado con los avances científicos y tecnológicos, en especial aquellos que nos hacen la vida más fácil y entretenida. Me encanta estar al tanto de las últimas novedades y tendencias, y compartir mis experiencias, opiniones y consejos sobre los equipos y gadgets que uso. Esto me llevó a convertirme en redactor web hace poco más de cinco años, enfocado principalmente a los dispositivos Android y sistemas operativos Windows. He aprendido a explicar con palabras simples aquello que resulta complicado para que mis lectores puedan entenderlo fácilmente.