Login Probar gratis
Phishing en Booking y Airbnb: estafas en reservas de viajes

Phishing en Booking y Airbnb: estafas en reservas de viajes

por MataSpam Phishing y Estafas

Las estafas de phishing en Booking y Airbnb se han convertido en una de las trampas más rentables para los ciberdelincuentes. Cada temporada de viajes, miles de usuarios reciben correos y mensajes que imitan a la perfección estas plataformas, con reservas falsas, supuestos problemas de pago y ofertas demasiado buenas. El fraude en viajes online funciona porque pilla a la víctima en un momento vulnerable: con las maletas medio hechas, la tarjeta de crédito caliente y cero ganas de complicaciones. Si alguna vez has reservado un alojamiento por internet —y seamos sinceros, ¿quién no?—, este artículo te interesa más que el seguro de cancelación.

Cómo funcionan las estafas de phishing en Booking y Airbnb

El mecanismo es más sofisticado de lo que parece. Los atacantes no se limitan a enviar correos genéricos: en muchos casos, comprometen primero las cuentas de los propios alojamientos. Una vez dentro del panel del hotel o apartamento, envían mensajes directos a los huéspedes desde la plataforma legítima. Eso significa que el mensaje aparece en tu bandeja de Booking o Airbnb, no en el correo basura.

La trampa habitual: recibes un mensaje urgente diciendo que tu reserva será cancelada si no verificas tu método de pago en las próximas horas. El enlace lleva a una página clonada —pixel por pixel— donde introduces tu tarjeta. Y ahí se acabaron tus vacaciones, al menos las económicas.

Otra variante popular es el phishing de alojamiento fuera de plataforma. Te contactan por WhatsApp o email ofreciéndote un descuento si pagas directamente, sin pasar por Booking ni Airbnb. Sin la protección de la plataforma, recuperar el dinero es prácticamente imposible. Según datos del Internet Crime Complaint Center (IC3) del FBI, las estafas relacionadas con viajes generan pérdidas de cientos de millones de dólares cada año a nivel global.

Señales de alerta: cómo detectar una reserva falsa

Identificar un intento de fraude en viajes online requiere fijarse en detalles que, con las prisas, suelen pasar desapercibidos. Aquí van las señales más fiables:

  • Urgencia artificial: "Confirma en 2 horas o perderás la reserva". Booking y Airbnb no operan así. Si tu reserva está confirmada, está confirmada.
  • Enlaces fuera de la plataforma: Cualquier mensaje que te pida hacer clic en un enlace externo para pagar o verificar datos es sospechoso. Las plataformas legítimas gestionan todo internamente.
  • Errores sutiles en la URL: booking-confirm.com, airbnb-secure.net, booking.payment-verify.com. El dominio real siempre termina en booking.com o airbnb.com, sin prefijos ni subdominios raros.
  • Petición de pago por transferencia o criptomonedas: Ni Booking ni Airbnb aceptan pagos por Bizum, transferencia directa ni Bitcoin. Si te lo piden, es una estafa de reserva falsa segura.
  • Ofertas demasiado baratas: Un apartamento en el centro de Barcelona por 30 € la noche en agosto. No hace falta ser experto para sospechar.

Si recibes un correo sospechoso, puedes verificar las cabeceras del mensaje y analizar los enlaces con herramientas como VirusTotal antes de hacer clic. También conviene revisar las mejores herramientas de ciberseguridad gratuitas para tener un arsenal básico de defensa.

Casos reales: así operan las redes de phishing turístico

En 2023, la empresa de seguridad Perception Point documentó una campaña masiva en la que los atacantes usaban infostealers (malware de robo de credenciales) para comprometer cuentas de hoteles en Booking.com. Una vez dentro, enviaban mensajes personalizados a los huéspedes con sus datos reales de reserva: nombre, fechas, hotel. Todo cuadraba. La víctima no tenía motivos para sospechar.

En Airbnb, el patrón más común involucra anuncios fantasma: propiedades que existen pero cuyos dueños no saben que están siendo anunciadas. Los estafadores usan fotos reales sacadas de otras webs inmobiliarias, publican el anuncio a un precio atractivo y, una vez reciben el pago, desaparecen. La víctima llega al destino y descubre que nadie le espera.

El INCIBE (Instituto Nacional de Ciberseguridad de España) ha emitido múltiples alertas sobre este tipo de phishing en plataformas de alojamiento, especialmente antes de períodos vacacionales. Su línea de atención 017 recibe consultas sobre este fraude de forma recurrente. Si te interesa cómo operan estas técnicas a mayor escala, el artículo sobre phishing de Amazon y correos falsos muestra patrones muy similares aplicados al e-commerce.

Qué hacer si has picado en una estafa de reserva

Primer paso: no entres en pánico, pero actúa rápido. El tiempo juega en tu contra.

  1. Contacta con tu banco inmediatamente. Si diste datos de tarjeta, pide el bloqueo y solicita un chargeback (retrocesión del cargo). La mayoría de entidades tienen protocolos para fraude online, y si actúas en las primeras horas, las probabilidades de recuperar el dinero aumentan.
  2. Cambia contraseñas. Si usaste la misma contraseña en Booking, Airbnb y tu correo (cosa que no deberías, pero la realidad es la que es), cámbiala en todos los servicios. Activa la autenticación en dos pasos (2FA) donde puedas.
  3. Reporta dentro de la plataforma. Tanto Booking como Airbnb tienen canales de reporte de fraude. Cuanto más rápido lo notifiques, antes pueden bloquear al estafador y prevenir más víctimas.
  4. Denuncia formal. En España, puedes denunciar ante la Policía Nacional (Brigada de Investigación Tecnológica) o la Guardia Civil (Grupo de Delitos Telemáticos). También a través de la plataforma del INCIBE.
  5. Verifica si tus datos están comprometidos. Usa Have I Been Pwned para comprobar si tu email aparece en alguna filtración conocida. Si es así, revisa qué servicios pueden estar expuestos. Nuestro artículo sobre qué hacer si tus datos aparecen en una filtración detalla el proceso paso a paso.

Cómo protegerte antes de reservar

La prevención es bastante más barata que el disgusto. Estas prácticas reducen drásticamente el riesgo de caer en phishing de Booking o estafas de Airbnb:

MedidaQué consigues
Reservar solo desde la app oficial o escribiendo la URL a manoEvitas enlaces manipulados en correos y SMS
Activar 2FA en Booking y AirbnbAunque roben tu contraseña, no acceden a tu cuenta
Usar tarjeta virtual o prepago para reservasLimitas la exposición financiera al importe exacto
No pagar nunca fuera de la plataformaMantienes la cobertura de protección al comprador
Comprobar reseñas y antigüedad del anuncioLos anuncios fantasma suelen tener pocas o ninguna reseña

Un truco que pocos conocen: si recibes un mensaje sospechoso dentro de Booking, abre otra pestaña y accede directamente a booking.com para comprobar el estado real de tu reserva. Si todo está en orden, el mensaje era falso. Así de simple.

Para quienes gestionan alojamientos, la cosa va más allá. Si administras propiedades turísticas y usas sistemas de domótica con cerraduras inteligentes vinculadas a reservas, un compromiso de tu cuenta de Booking podría dar acceso físico a los atacantes. Otro motivo para tomarse en serio la seguridad de credenciales.

Preguntas frecuentes

¿Puede llegarme phishing directamente desde la app de Booking?

Sí. Si los atacantes comprometen la cuenta del hotel, pueden enviar mensajes a través del chat interno de Booking. Que un mensaje aparezca dentro de la plataforma no garantiza que sea legítimo. Verifica siempre accediendo directamente a tu reserva, sin seguir enlaces.

¿Airbnb devuelve el dinero si me estafan con un alojamiento falso?

Airbnb tiene una política de protección llamada AirCover que cubre situaciones donde el alojamiento no existe o no coincide con el anuncio. Para acceder a ella, la reserva y el pago deben haberse hecho dentro de la plataforma. Si pagaste por fuera, no hay cobertura posible.

¿Cómo distingo un correo real de Booking de uno falso?

Revisa el remitente: los correos legítimos vienen de @booking.com, no de variantes como @booking-notifications.com. Aun así, el remitente puede falsificarse (spoofing). La regla de oro: nunca hagas clic en enlaces del correo. Abre la app o web directamente y comprueba tu reserva ahí.

¿Qué hago si un alojamiento me pide pagar por Bizum o transferencia?

Recházalo y reporta el anuncio a la plataforma. Ni Booking ni Airbnb permiten pagos fuera de sus sistemas. Cualquier petición de pago alternativo es señal inequívoca de fraude en reservas de viajes.

El siguiente paso

Abre ahora mismo tu cuenta de Booking y de Airbnb, y activa la verificación en dos pasos en ambas. En Booking la encontrarás en Configuración de seguridad; en Airbnb, en Cuenta > Inicio de sesión y seguridad. Son dos minutos que pueden ahorrarte un disgusto considerable la próxima vez que reserves tus vacaciones.

phishing booking estafa airbnb reserva falsa fraude viajes online phishing alojamiento
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Typosquatting: dominios falsos que imitan webs legítimas para estafarte
Phishing y Estafas

Typosquatting: dominios falsos que imitan webs legítimas para estafarte

Phishing de Amazon: los correos falsos más frecuentes y cómo detectarlos
Phishing y Estafas

Phishing de Amazon: los correos falsos más frecuentes y cómo detectarlos

Phishing de Netflix y Disney+: correos falsos sobre tu suscripción
Phishing y Estafas

Phishing de Netflix y Disney+: correos falsos sobre tu suscripción

← Volver al blog