En verano del año pasado, desde 20Bits informamos de un correo electrónico fraudulento sobre una supuesta reserva de hotel a través de Booking. En él, los ciberdelincuentes se hacían pasar por la compañía para que el receptor creyese que había hecho una reserva, además, el email incluía un archivo adjunto con un malware en su interior.
Antes de explicar el nuevo tipo de estafa, Booking aclara que "la seguridad y la protección de datos de nuestros partners y clientes es una prioridad. Hemos sido informados de que algunos alojamientos asociados han sido objeto de correos electrónicos de phishing que han puesto en peligro sus sistemas. Aunque la brecha de seguridad no se produjo en Booking.com, sabemos que las cuentas de algunos de nuestros alojamientos asociados se vieron afectadas. Estas cuentas fueron bloqueadas para reducir el riesgo y nuestros equipos están apoyando activamente a estos partners de alojamiento para asegurar que puedan reanudar de forma rápida y segura sus anuncios en nuestra plataforma. Nuestros equipos de seguridad siguen investigando este problema".
Dejando de lado la aclaración de la empresa, recientemente, un lector de Ars Technica reservó y pagó una estancia de dos noches prevista para este mes de julio en un hotel de Italia, y la semana pasada, recibió dos correos electrónicos:
- El primer mensaje provino del dominio de Booking y pedía que hiciera clic en un botón de confirmación inexistente para su próxima estancia.
- El segundo email también iba en nombre del hotel, pero el encabezado mostraba que fue enviado por una dirección de yandex.net. El correo electrónico incluía el botón de confirmación mencionado anteriormente que conducía a una URL generada por el servicio de acortamiento ruso nah.uy.
El lector hizo clic en el segundo mensaje porque mostraba su nombre, las fechas, el hotel, la tarifa total y el botón para introducir la tarjeta bancaria. Posteriormente, la víctima recibió un mensaje de WhatsApp del estafador que se hacía pasar por el hotel que había reservado.
Ars Technica señala que el usuario "no compartió ninguno de los detalles de su viaje en línea. Eso significa que la información personal en estos correos electrónicos enviados por estafadores provino directa o indirectamente de Booking. No está claro exactamente cómo lo obtuvieron los estafadores".
Booking aclaró al mismo medio de comunicación que no se habían comprometido los sistemas de la plataforma, sin embargo, "una pequeña cantidad de propiedades habían sido atacadas por correos electrónicos de phishing enviados por ciberdelincuentes y al hacer clic en esos correos electrónicos, las propiedades comprometieron sus cuentas", agregando que "todos los invitados potencialmente afectados han sido notificados".
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios