Los ciberdelincuentes aprovechan la temporada alta para lanzar campañas de «phishing» desde cuentas reales de alojamientos, enviando mensajes que redirigen a páginas falsas donde roban datos bancarios
18 jul 2025 . Actualizado a las 05:00 h.Si algo caracteriza a los ciberdelincuentes es su dominio del calendario. Como ocurre durante el Black Friday, las rebajas o la campaña de Navidad, la temporada alta de vacaciones se ha convertido en otro momento clave para lanzar nuevas ciberestafas con precisión quirúrgica. El aumento masivo de reservas y búsquedas de alojamiento les proporciona el contexto ideal para pasar desapercibidos y colar mensajes fraudulentos.
La compañía de ciberseguridad Check Point Research ha detectado un repunte notable en este tipo de engaños, que afectan tanto a hoteles como a sus clientes, y que se ceban especialmente con las plataformas de búsqueda de alojamiento más populares. El esquema es siempre el mismo: tras acceder a los sistemas del establecimiento —ya sea por robo de credenciales o por una brecha de seguridad— los atacantes se hacen pasar por el hotel y contactan con los clientes desde el sistema interno de mensajería de la propia plataforma.
En los casos documentados por Check Point, el mensaje suele ser breve y contundente: «Tu reserva será cancelada si no realizas el pago en 24 horas». La urgencia actúa como un desactivador de sospechas. Nadie quiere quedarse sin vacaciones. El enlace incluido en el mensaje dirige a una web que imita a la perfección la página oficial, con logotipos, diseño y hasta un falso servicio de atención al cliente. Pero tras esa apariencia de normalidad se esconde una infraestructura diseñada para robar datos personales y bancarios.
Solo en mayo del 2025, coincidiendo con el inicio de la temporada alta, se registraron más de 39.000 nuevos dominios relacionados con vacaciones. La cifra no es casual: los ciberdelincuentes siguen los picos estacionales de búsqueda y se anticipan a los patrones de consumo digital. Apuestan por campañas de phishing cada vez más complejas, ayudadas por inteligencia artificial generativa que permite crear correos electrónicos personalizados, variados y convincentes, capaces de sortear los filtros de seguridad más comunes.
Los hoteles, víctimas
Pero no solo los viajeros son objetivo. Los propietarios de alojamientos también han sido víctimas de campañas de ciberestafas. En algunos casos, recibieron correos electrónicos que simulaban provenir de antiguos huéspedes, preocupados por haber olvidado un objeto en su última visita. Al hacer clic en el enlace, el receptor era redirigido a páginas fraudulentas que imitan el entorno de la plataforma. Algunas incluso piden ejecutar comandos que instalan programa malicioso —básicamente un virus— en el dispositivo del usuario. El objetivo: tomar el control del sistema e iniciar un ataque más profundo.
Uno de los puntos más preocupantes es que estos fraudes no suceden desde fuera del sistema, sino dentro. El mensaje engañoso llega desde la propia cuenta del hotel, previamente comprometida. Esto convierte a la estafa en algo extraordinariamente difícil de detectar. Como apunta la OCU (Organización de Consumidores y Usuarios), la víctima suele tener una reserva activa y recibe un mensaje perfectamente integrado en la plataforma. La legitimidad percibida es total.
Este tipo de ataques se suman a las estafas más tradicionales que afectan al alquiler vacacional. Según el Instituto Nacional de Ciberseguridad (INCIBE), una de las variantes más comunes es la publicación de anuncios falsos en webs especializadas, con imágenes robadas y precios muy por debajo del mercado. En algunos casos, el estafador utiliza intermediarios para recibir los pagos, lo que complica su rastreo. La trampa se activa cuando el usuario paga una señal o el importe completo atraído por la urgencia o la promesa de una ganga. Tiempo después, al intentar contactar con el anunciante, no hay respuesta. El alojamiento no existe o nunca estuvo disponible.
Las recomendaciones de los expertos coinciden en una máxima: desconfiar de las urgencias. Si un mensaje exige pagos inmediatos o solicita datos fuera del canal oficial, hay que dudar. También conviene evitar hacer transacciones fuera del sistema de pago integrado en la plataforma. Si algo no cuadra, es mejor verificarlo directamente con el alojamiento por otra vía.