Según la BBC británica, podría haber al menos 10.000 afectados.
Money Box es el nombre de uno de los programas sobre economía y finanzas más populares de la BBC.
Recientemente, y debido a un importante incremento en el número de denuncias tramitadas ante las autoridades, el canal de radio y televisión británico emitió el resultado de una investigación sobre presuntos casos de suplantación de identidad (Phishing), que habrían afectado al menos a 10.000 clientes de la plataforma de reservas hoteleras Booking.
Las cantidades estafadas van desde cifras inferiores a los 100 euros, hasta cargos por varios miles, que concuerdan exactamente con los importes reales abonados por las víctimas a Booking.
La empresa holandesa ya había sido condenada en el año 2021 al pago de una sanción por importe de 475.000 euros, al tardar casi un mes en notificar a los agentes reguladores un ciberataque sufrido en 2018, por el que se habrían filtrado datos personales de 4.100 usuarios de Booking, así como información de las tarjetas de crédito de otros 283 clientes.
En esta ocasión, Booking asegura que no existe ninguna filtración de datos por su parte, ya que según la versión de los hechos que facilitan, los hackers estarían atacando realmente a los hoteles que trabajan con esta empresa, extrayendo de sus sistemas informáticos la información sobre reservas realizadas a través de su plataforma.
El modus operandi de los hackers es el siguiente:
Una vez formalizada la reserva en Booking, el usuario recibe la correspondiente confirmación de la manera habitual, tal y como se muestra en esta captura de pantalla publicada desde la web arstechnica.com.

Pocos días antes de la entrada en el hotel, se recibe un mail que supuestamente remite el propio establecimiento a través de Booking, en el que se solicita hacer click en un enlace con el fin de confirmar la reserva.
La principal particularidad de este correo es que indica el número de reserva correcto, así como el nombre del hotel elegido y las fechas de estancia, por lo que muchos internautas no ponen en duda su procedencia.

Posteriormente, se recibe un segundo email que vuelve a solicitar una reconfirmación de la reserva, el cual lleva a una pantalla que es una réplica casi perfecta de la web de Booking, en la cual se incluyen los datos del cliente, el nombre del hotel y los días de estancia, e incluso el importe abonado en su momento.

Algunos de los clientes estafados también han llegado a recibir mensajes por whatsapp, supuestamente enviados desde los hoteles reservados, en el que se les solicita algún tipo de confirmación sobre servicios no contratados, como por ejemplo la posibilidad de añadir una plaza de aparcamiento.
Finalmente, las víctimas de estos ciberataques reciben un último correo urgente en el que son informados de problemas a la hora de procesar los pagos realizados con sus tarjetas.

Debido a la urgencia por la falta de margen de tiempo antes de la entrada en el hotel, se requiere un nuevo depósito de seguridad. En otros casos, se solicita volver a realizar el abono con otra tarjeta distinta a la utilizada originalmente.
En algunos casos, se ha indicado a los usuarios estafados la obligatoriedad de transferir ciertas cantidades a un número de cuenta bancaria, argumentando que el hotel tiene un alto número de reservas y sólo conservará aquellas que hayan sido confirmadas de este modo.
Dado que se amenaza con la cancelación de la reserva, un número importante de usuarios de Booking (se calcula que al menos unos 10.000), habrían caído en la trampa de los hackers.
Los importes estafados no pueden ser reclamados ni a Booking ni a los hoteles afectados, por lo que la única solución que resta es presentar la correspondiente denuncia ante las autoridades policiales, con el fin de que sean estos los que investiguen cada caso en concreto.