La plataforma de reservas de alojamientos online Booking.com ha asegurado este viernes a EFE que la campaña de «phishing» (ciberestafa) desvelada por Microsoft afectó a algunos de sus proveedores de servicios y a clientes, pero no consiguió entrar en sus sistemas.
Aunque no ha facilitado datos de número de clientes o socios (proveedores de alojamientos) afectados, la plataforma asegura que sus equipos están trabajando estrechamente con ambos grupos para asegurar sus sistemas.
Microsoft explicó este jueves que, en diciembre de 2024, su equipo de Threat Intelligence detectó una campaña de «phishing» en la que se suplantaba a Booking.com, que tenía como objetivo organizaciones en la industria hotelera y de viajes, y que «en febrero seguía activa» aunque no precisa si continúa. Tampoco Booking ofrece más información.
La campaña utiliza una técnica de ingeniería social denominada ClickFix para distribuir múltiples tipos de herramientas y programas malignos diseñados para robar credenciales y realizar fraudes financieros.
Fuentes del portal de alojamientos han explicado a EFE que «algunos» de sus proveedores de alojamiento y clientes han sido objeto de este tipo de prácticas «muy convincentes y sofisticadas», con enlaces que implican una descarga de programas malignos en sus dispositivos y, en algunos casos, conllevan el acceso no autorizado a sus cuentas de Booking.com.
No obstante, desde Booking inciden en que ni los sistemas ni la infraestructura de ‘backend’ (la estructura del servidor) se han visto afectados «de ninguna manera».
Booking explica como se realizaron estas estafas de phising
Booking explica que, como es habitual en estos casos, los atacantes dan una sensación de urgencia, que tiene apariencia de razonable, para convencer a los clientes desprevenidos de que den información sensible.
«Aunque afortunadamente podemos bloquear la gran mayoría de estos intentos, también estamos apoyando a los socios y clientes afectados según sea necesario», añaden las fuentes, que resaltan que detectan y bloquean «la gran mayoría» de las actividades sospechosas antes de que impacten en los usuarios finales.
Tras este ataque en particular, Booking señala que ha aplicado diversas medidas de seguridad adicionales, como la autenticación de doble factor cuando detecta comportamientos o dispositivos inusuales, además de anuncios (‘banners’) notificando a los huéspedes que no deben comunicarse ni proporcionar información de tarjetas de crédito a través de chat o correo electrónico y un detector de reservas falsas.
Según Microsoft este ataque de «phishing» se dirige específicamente a individuos que trabajan en organizaciones del sector hotelero y de viajes en América del Norte, Oceanía, Sur y Sudeste Asiático, y toda Europa, y que «probablemente» trabajen con Booking.com, enviando correos electrónicos falsos que parecen provenir de la plataforma.
El actor de amenazas que Microsoft rastrea como Storm-1865 agrupa un conjunto de actividades que llevan a cabo campañas de «phishing», lo que significa el robo de datos de pago y realización de cargos fraudulentos.
Estas campañas han estado vigentes, con un volumen creciente, desde, al menos, principios de 2023 y utilizan mensajes enviados a través de plataformas de proveedores, como agencias de viajes online, plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail.
