Ciberdelincuentes se hacen pasar por Booking.com en nuevo ataque de phishing

Microsoft ha identificado una campaña continua de phishing dirigida al personal de hoteles y hostales, simulando ser la agencia de viajes Booking.com.

El equipo de seguridad de Microsoft identificó la campaña en diciembre de 2024, justo antes de la ajetreada temporada de viajes navideños. La estafa sigue activa hasta febrero de 2025, afectando a organizaciones en toda América del Norte, Europa, Oceanía y partes de Asia.

Los atacantes envían correos electrónicos falsos que parecen ser de Booking.com, haciendo referencia a críticas negativas de los huéspedes, solicitudes de reservas urgentes o necesidades de verificación de la cuenta. Estos correos electrónicos contienen enlaces que llevan a una página web engañosa diseñada para parecerse a Booking.com.

En este sitio web falso, se solicita a las víctimas que completen una verificación CAPTCHA, pero en lugar de un verdadero chequeo de seguridad, se les instruye para abrir una ventana de comandos especial en su computadora y pegar un código proporcionado. Esta acción descarga y ejecuta un malware que puede robar información sensible.

El malware entregado en este ataque incluye varias herramientas de hacking bien conocidas, como XWorm, VenomRAT y AsyncRAT.

Estos programas permiten a los ciberdelincuentes tomar el control de los dispositivos infectados, capturar contraseñas y cometer fraude financiero. Microsoft ha vinculado esta actividad a un grupo de hackers al que llama Storm-1865, el cual previamente ha dirigido sus ataques a plataformas de comercio electrónico e invitados de hoteles utilizando tácticas similares.

La incorporación de este nuevo método, conocido como “ClickFix“, demuestra cómo los atacantes están evolucionando para eludir las defensas de seguridad. Al hacer que la víctima realice acciones específicas, como copiar y pegar código, pueden evitar la detección automática de los filtros de correo electrónico y el software antivirus.

Un portavoz de Booking.com aclaró que el ataque no implica una violación de seguridad en su plataforma.

“Aunque podemos confirmar que los sistemas de Booking.com no han sido violados, somos conscientes de que, lamentablemente, algunos de nuestros socios de alojamiento y clientes han sido afectados por ataques de phishing enviados por criminales profesionales, con la intención criminal de tomar el control de sus sistemas informáticos locales con malware”, dijeron, según informó The Record.

Microsoft aconseja a las empresas que implementen la autenticación multifactor, utilicen herramientas de filtrado de correo electrónico para buscar intentos de phishing, y aseguren que el personal esté capacitado para reconocer correos electrónicos sospechosos. Con los cibercriminales perfeccionando constantemente sus tácticas, es crucial mantenerse vigilantes contra los ataques de phishing, especialmente en industrias que manejan datos sensibles de clientes.