Echamos un vistazo a los primeros resultados sobre las campañas fraudulentas que explotan las vacaciones de verano en 2025.
Como cada año, la campaña turística de verano ofrece suculentas oportunidades a los ciberdelincuentes. Y en 2025, no ha sido de otra manera. Esto demuestran los primeros resultados que ya han sido publicados relacionadas con este sector. Echémosles un vistazo.
Crecen un 48% los ciberataques contra el sector hotelero
Check Point Research (CPR) analiza anualmente los ciberataques dirigidos al sector hotelero y los datos de mayo de 2025 muestran un incremento anual en los ciberataques semanales medios por organización en este sector, siendo del 48% de 2024 a 2025. Comparado con 2023, el incremento es del 78%.
Las técnicas de engaño no son nuevas: ofertas fraudulentas, campañas de phishing en las que se suplantan las principales plataformas de reservas, falsos mensajes de reservas… Los ciberdelincuentes se aprovechan de los rasgos específicos de la campaña de verano: emoción por la experiencia, urgencia por hacerse con la mejor oferta y la ansiedad por planificar las mejores vacaciones posibles.
Pero no son solo víctimas los clientes finales del sector, también los son los hosts de alojamientos y las propias marcas del sector, víctimas de suplantación. Veamos a continuación algunos de los ejemplos que muestra el estudio.
Ejemplos de ataques fraudulentos en 2025
Suplantación de Airbnb dirigida a usuarios
Se ha detectado una página web fraudulenta, potencialmente clonada, que imitaba la página de pago de reserva de Airbnb en un dominio ilícito, sin relación alguna a la marca, con el objetivo de hacerse con las tarjetas de crédito y fechas de expiración. Probablemente, esta página se ha usado o iba a usarse en campañas de phishing, smishing o a través de comunicaciones fraudulentas en la que falsos propietarios envían enlaces a páginas externas para finalizar los procesos de reserva.
Suplantación de Booking.com dirigida a propietarios
Otro dominio fraudulento detectado por Check Point afecta a la popular plataforma de reservas, conteniendo una página web falsa que imita la página de log in de propietarios de alojamientos. En este caso, el objetivo de la página es la distribución de malware, a través de una pop-up con un falso recaptcha que descarga un troyano.
También han detectado, asociado a otros dominios, correos de phishing que suplantan a la marca y dirigidos a hosts. En estos correos, imitan notificaciones de Booking.com conforme el alojamiento ha recibido un mensaje de un huésped. Es probable que al hacer clic fueran dirigidos a páginas de log in falsas como la que acabamos de ver.
Un aspecto relevante que explica Check Point relativo a estos correos es el uso de variantes en los CTA del mensaje (call-to-action, es decir, los botones que te llevan a realizar una acción). Según los expertos en ciberseguridad, sería una muestra de uso de IA generativa para incrementar las posibilidades de eludir los filtros antispam de los clientes de correo.
Crece un 55% el registro de dominios turísticos fraudulentos
Este incremento de ciberataques y campañas de suplantación y phishing se nota de la misma manera en los nuevos dominios registrados en mayo relacionados con la campaña turística de verano. Según datos del estudio de Check Point, 1 de cada 21 dominios turísticos registrados en mayo, de un total de 39.000, son fraudulentos o sospechosos. Esto representa el 5% del de los registros y un incremento del 55% respecto al año anterior.
La implementación de DMARC cojea en Europa con un 54% de exposición al fraude
Un reciente estudio de ProofPoint ha analizado el nivel de implementación de DMARC de las 20 principales páginas del sector en Reino Unido, Italia, Francia, Alemania, España, Benelux, Emiratos Árabes Unidos y Arabia Saudí.
A pesar de que el 88% de ellas ha implementado DMARC, solo el 46% lo hacen en su máxima cobertura (p=reject). ¿Por qué es importante?
DMARC es un protocolo de validación de correo que, actualmente, ofrece la mayor protección contra los correos fraudulentos. Es por eso que, desde el año pasado, grandes empresas como Google o Yahoo (y desde este año Microsoft) exigen su implementación a las marcas que realicen envíos de correo masivo.
Se basa en los protocolos SPF y DKIM. Si un sender o correo no pasa estos dos protocolos (el primer verifica que el sender está autorizado para enviar ese correo y el segundo valida que no ha sido interceptado ni modificado), DMARC entra en acción y, en función de la política DMARC implementada, el correo llegará o no a la bandeja de entrada del receptor.
Para una máxima securización de clientes y usuarios, las marcas deben implementar la política reject (el tercer y último grado de implementación de DMARC), pues es la que garantiza que el correo fraudulento no se entrega.
Y esta es la asignatura pendiente del 54% de las principales plataformas turísticas en estos países.
España, a la cabeza junto con el Reino Unido
Afortunadamente, tanto en España como en el Reino Unido, el 100% de las plataformas analizadas han implementado DMARC y un 65% han implementado la política reject, lo que supone que, en estos países, la exposición es del 35%.
No obstante, un 35% no debería ser en 2025 una cifra positiva, especialmente al analizar las marcas líderes del sector. Es necesario e indispensable que las marcas se pongan las pilas con las medidas básicas de la lucha contra el fraude.
Ofrecemos un chequeo gratuito de DMARC que puede solicitarse aquí.
¿Vuestros envíos son seguros?
Solicita un chequeo rápido, revisaremos si cumples SPF, DKIM, DMARC y BIMI
En definitiva, las campañas turísticas son muy jugosas para los ciberdelincuentes, que cuentan con nuevos recursos que les facilitan las campañas fraudulentas. Aunque la campaña de verano sea la más relevante, el sector debe tener en cuenta los nuevos patrones de consumo, que han incrementado los periodos vacaciones y/o viajes que realizan los usuarios al año.
Para ello, es apremiante que las marcas del sector Turismo conozcan las amenazas e implementar las medidas de prevención y anticipación necesarias. Asimismo, les animamos a realizar nuestro Test de Madurez en Protección de Marca Online como punto de partida en la definición de su estrategia.
¿Necesitas ayuda contra el fraude online?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.