Una nueva ciberestafa detectada a mediados de mayo está aprovechando reservas reales de hotel para intentar cobrar pagos extra o conseguir datos bancarios de viajeros. El fraude, identificado como Reservation Hijack Scam, usa información auténtica de estancias ya contratadas, incluido el nombre exacto del establecimiento y las fechas de la reserva.
La dificultad para detectarlo está en ese punto. Los mensajes ya no llegan con fallos evidentes ni con datos genéricos, sino con detalles correctos de la reserva y textos redactados con precisión, lo que reduce las señales que antes permitían desconfiar de inmediato.
Los atacantes usan reservas reales y piden un nuevo pago
Los ciberdelincuentes acceden a esos datos mediante conversaciones comprometidas, vulneraciones de sistemas hoteleros o credenciales robadas de plataformas de gestión de alojamientos. Con esa información construyen comunicaciones que aparentan ser legítimas y que buscan una acción rápida del cliente.
El patrón más habitual consiste en reclamar una verificación bancaria o un pago adicional una vez confirmada la reserva. También pueden pedir que el usuario vuelva a introducir los datos de su tarjeta a través de un enlace externo.
En algunos casos, los atacantes recurren a dominios web casi idénticos a los oficiales. El engaño se apoya en cambios mínimos en la dirección de la página, suficientes para confundir al usuario durante unos segundos y llevarlo a completar el pago fuera del canal correcto.
La IA elimina los errores que antes delataban el fraude
El uso de inteligencia artificial por parte de grupos criminales ha cambiado la apariencia de estos mensajes. La tecnología les permite redactar textos sin errores ortográficos, adaptar el idioma al destinatario y personalizar el contenido con más facilidad.
Eso complica la detección del fraude en plena temporada turística, cuando también aumentan otros engaños digitales vinculados a los viajes. Entre ellos figuran los resultados falsos en buscadores, perfiles fraudulentos en redes sociales, promociones inexistentes y la venta ilegal de entradas.
Las señales de alerta siguen estando en el canal y en la urgencia del mensaje. Conviene desconfiar de peticiones de pago inmediatas tras confirmar una reserva, solicitudes para reintroducir datos bancarios, avisos enviados por WhatsApp o SMS y transferencias a cuentas personales.
Ante cualquier mensaje inesperado, la recomendación pasa por entrar directamente en la plataforma original o contactar con el hotel por sus canales oficiales. También ayuda activar la autenticación en dos pasos, usar contraseñas distintas y no introducir datos bancarios desde enlaces recibidos por mensaje.