A medida que se aproximan las vacaciones de verano, aumenta el riesgo de estafa y fraude en la reserva de viajes y servicios turísticos.
Llegado el verano, se multiplican los timos: apartamentos que no existen, billetes pagados con tarjetas robadas, reservas de vuelo duplicadas, robo de datos bancarios en falsas centrales de reserva… Uno de cada tres viajeros ha sido estafado o conoce a alguien que lo ha sido y un tercio ha perdido 1.000 dólares o más antes de empezar sus vacaciones, según reveló McAfee tras analizar los resultados de una encuesta a 7.000 personas de siete países.
Y es que la digitalización en el sector del ocio y del turismo ha facilitado tanto la reserva de viajes y servicios relacionados que, en 2023, el volumen mundial del mercado turístico en línea se estimó en 600.000 millones de dólares: aproximadamente dos tercios de los ingresos totales de la industria del turismo ese año (69,6 %).
En España, el turismo mueve miles de millones de euros al año y los nuevos hábitos de consumo también están llevando a la transformación digital del sector: en 2022 las ventas por comercio electrónico ya suponían casi la mitad en hotelería (46%).
Los estafadores aprovechan las búsquedas de chollos vacacionales de los consumidores y defraudan a agencias de viajes, empresas turísticas y compañías aéreas.
Ya antes de la pandemia, la American Hotel & Lodging Association denunció que el 23% de los consumidores habían sido engañados por supuestos vendedores de viajes por teléfono o Internet, lo que representa 5.700 millones de dólares en transacciones fraudulentas y engañosas de reservas.
A medida que la reserva de vuelos, hoteles y vacaciones en general se traslada a las plataformas digitales, los delincuentes van aplicando técnicas más avanzadas de ingeniería social, malware, clonación de tarjetas y robo de datos personales. En algunos estudios, las estafas en el sector turístico ya se posicionan como uno de los 10 principales delitos digitales.
Las estafas más habituales en el sector turístico online
1. Fraude publicitario
Ocupando los primeros puestos del ranking, encontramos los anuncios falsos en Internet. Las ofertas irresistibles en las que se suplanta a negocios reales se propagan en Internet. En realidad, el cliente paga por un billete o un alojamiento que no existe.
Es lo que le ocurrió a una joven llamada Clara que ha denunciado su caso en el portal de noticias 3Cat. Quería celebrar su cumpleaños haciendo un viaje a Menorca con amigos. Buscando en el portal Vrbo, encontró la casa ideal, ni muy cara ni muy barata. Los dueños quisieron concretar los detalles por Whatsapp.
Entonces le enviaron un enlace para tramitar el pago: «Me fie y cliqué. Era exactamente igual que la página del portal. Todo súper bien cuidado. Era exactamente igual que la aplicación real. Pagué 3000 euros».
Unos días antes de viajar, escribió al mismo número de Whatsapp, pero ya no existía: «Me puse histérica; contacté con el centro de ayuda de Vrbo y supe que me la habían colado del todo, y mira que, habiendo estudiado derecho, me miro mucho estas cosas».
Estos anuncios falsos afectan por triplicado a los negocios turísticos: por un lado, la presencia de ofertas fantasma no solo hace irrecuperable al viajero afectado; por otro lado, rebaja la confianza de los demás usuarios para hacer compras online. Pero, además, se resienten los presupuestos publicitarios de las empresas, que se ven desperdiciados en gran medida en impactos no producidos.
2. Suplantación de identidad
A la amenaza de la publicidad engañosa se suma la suplantación de identidad de la marca: páginas web o perfiles falsos que clonan a los verdaderos hoteles, centrales de reserva, aerolíneas y otros servicios.
Un timo relativamente nuevo es el de las maletas perdidas. En Inglaterra, los medios han alertado sobre timadores que interceptan en X las quejas de los pasajeros de British Airways frustrados por la pérdida de equipaje.
En el caso detectado, los estafadores crearon la cuenta no oficial «@CareBritish» y se dedicaron a responder a los tuits de los viajeros. Les pedían sus datos y, acto seguido, se ponían en contacto y les avisaban de que debían pagar para que les enviaran la maleta.
En un ejemplo examinado por The Independent, un pasajero de British Airways residente en México, cuya maleta no había aparecido en el aeropuerto JFK de Nueva York, recibió la noticia de que su equipaje había volado desde otro aeropuerto neoyorquino, La Guardia, a Dallas-Fort Worth. Alguien que se hacía llamar «Martin de BA» le escribió en Twitter que podría recuperarla si transfería 150 libras a una persona que vive en Nakuru, Kenia.
3. Phishing
Las campañas de phishing dirigidas a hoteles y empresas del sector de la hostelería y los viajes son otra de las herramientas preferidas de los ciberdelincuentes.
La compañía Proofpoint, por ejemplo, tiene identificado desde 2018 a un grupo de piratas informáticos, etiquetado como TA558, cuyo objetivo son los sectores de la hostelería, los viajes y relacionados en países de habla hispana y portuguesa, y cuyo ritmo de ataque ha aumentado desde 2022.
Al igual que otros ciberdelincuentes, en 2022, TA558 adoptó nuevas técnicas y procedimientos de ataque. Recientemente, envía correos electrónicos maliciosos escritos en español, portugués y, en ocasiones, inglés, infectados con 15 familias de malware, por lo general troyanos de acceso remoto (RAT), para entrar en los sistemas objetivo, robar datos clave y, en última instancia, desviar el dinero de los clientes.
Los emails simulan proceder de organizadores de conferencias, oficinas de turismo y otros grandes clientes pidiendo una reserva que los destinatarios no pueden descartar fácilmente. Las víctimas que clican en el mensaje descargan un virus.
En 2022, por ejemplo, una campaña utilizó como señuelo facturas de QuickBooks en lugar de reservas de habitaciones y lanzó Revenge RAT. Una vez comprometidos los sistemas hoteleros con el malware, TA558 se adentra en la red para robar los datos de los clientes, copiar los datos de las tarjetas de crédito y modificar los sitios web para desviar los pagos.
Así es como, en julio de ese mismo año, el Marino Boutique Hotel de Lisboa sufrió el pirateo de su cuenta de Booking.com y el intruso robó 500 000 euros en cuatro días a clientes que habían pagado una habitación.
Este caso formaba parte de una ola de estafas en las que los piratas suplantaron a Booking.com y enviaron miles de mensajes «Tiene 24 h o anulamos la reserva». Los expertos en ciberseguridad dejaron claro que la plataforma no había sido pirateada, sino que los delincuentes han ideado nuevas formas de entrar en el portal de administración de los hoteles que se anuncian en Booking.com.
Un ejemplo de estos vectores de entrada es un correo electrónico haciéndose pasar por un antiguo cliente que dice haberse dejado el pasaporte en la habitación. En el mensaje al hotel, el pirata envía un enlace de Google Drive diciendo que contiene una imagen del pasaporte. En realidad, al clicar se descarga malware que busca automáticamente el acceso a Booking.com.
A continuación, el pirata inicia sesión en el portal de Booking.com, lo que le permite ver todos los clientes que tienen reservas y todos los datos, con las fechas exactas y detalles de la estancia. Entonces, envía mensajes a esos clientes desde la aplicación oficial e intenta engañar a la gente para que le pague a él, además de acceder a su cuenta.
3. Reservas fraudulentas
La mayoría de las estafas del sector turístico siguen girando en torno a los vuelos: la más habitual consiste en pagar un billete de avión poco antes de la salida utilizando una tarjeta de crédito robada o clonada. Para cuando se reconoce el delito, el pasajero ya ha aterrizado.
Sin embargo, la Asociación Británica de Agencias de Viajes, afirma: «Un tipo de fraude especialmente común es el de “tarjeta no presente”, en el que los estafadores realizan reservas telefónicas o en línea con una tarjeta robada. Estas reservas suelen ser para billetes de avión de última hora e importe elevado, debido a que el delincuente se habría marchado antes de que se le cobrara la transacción».
Pero las compañías áreas no son las únicas. Los restaurantes y hoteles también son blanco de reservas falsas a través de plataformas como Booking.com. En el Reino Unido, la Asociación de Profesionales de la Hostelería ha instado a los hoteleros a que tengan especial cuidado al verificar las reservas, tras el aumento de las reservas falsas, que se crean sin intención de alojarse o pagar.
A veces, estas reservas fraudulentas también pueden buscar obtener recompensas de marketing o suplantar la identidad de alguien, aunque, como avisa Booking.com en su web, las motivaciones varían y evolucionan con el tiempo.
Se trata, por lo general, de reservas de última hora, de poco tiempo y gran valor, realizadas con una tarjeta de crédito no válida. Como los hoteles no pueden cobrar a la tarjeta utilizada, se produce una pérdida de ingresos.
4. Robo de datos
Otra forma que tienen los piratas informáticos de ganar dinero es vender los datos robados. En noviembre de 2023, por ejemplo, la BBC avisó de ciberdelincuentes que ofrecen hasta 2.000 dólares en la llamada dark web por los datos de acceso a los hoteles, ya que pueden seguir atacando a las personas que se alojan en ellos.
A través de la apropiación de cuentas de clientes reales, el delincuente puede reservar una estancia (si se ha registrado un método de pago en la cuenta) o trasferir puntos de un programa de fidelización. Cuando el cliente descubre el problema, suele ser demasiado tarde.
Los timadores llegan incluso a utilizar los datos para solicitar créditos o financiar compras sin que la víctima sea consciente de ello. Solo se da cuenta de que le han usurpado la identidad cuando la entidad crediticia le reclama la deuda: en 2023, la estafa de la suplantación de identidad con posterior contratación de crédito rápido se disparó el 15 % en Cataluña, como denuncian los Mossos.
El subinspector José Merino del cuerpo de la policía catalana aseguraba que «hay una auténtica compraventa para hacer todo tipo de suplantaciones» y que se puede llegar a vender paquetes de perfiles con todo tipo de datos por unos 300 euros.
5. Infracción de propiedad intelectual
Finalmente, otro tipo de engaño online consiste en la copia de indicaciones geográficas, creaciones u obras originales, como vídeos, fotografías o folletos, o la falsificación de signos distintivos de un negocio o marcas para usarlos en las comunicaciones de empresas que no tienen afiliación alguna con la marca usurpada.
Estos elementos son fundamentales en el desarrollo de productos turísticos y agregan valor a los servicios, por ejemplo: las indicaciones geográficas y las denominaciones de origen —por ejemplo, en alimentos como quesos, pimientos, o en vinos, etc.— contribuyen al crecimiento del turismo rural y gastronómico.
Copiando los elementos de un sello reconocido, los piratas dan a entender que trabajan con o para proveedores de calidad en los que confían los clientes, cuando, en realidad, no tienen ningún tipo de autorización ni asociación comercial, lo cual puede dañar gravemente la reputación de estas marcas y causar grandes pérdidas de ganancias.
Como explica la Organización Mundial de la Propiedad Intelectual (WIPO), «un logotipo creado y protegido por un destino turístico es un derecho de PI exclusivo de dicho destino. El logotipo puede ser utilizado únicamente por su propietario en una campaña de video promocional o puede comercializarse mediante un acuerdo de licencia con terceros. Esos terceros podrían utilizarlo posteriormente para artículos promocionales de regalo y recuerdos, como tazas y camisetas, generando así ingresos para el destino turístico».
Medidas de prevención del fraude online
Luchar contra el cibercrimen es ardua tarea. Sin embargo, los sectores propensos a ser objetivo – como el Turismo – deben tomarse en serio la adopción de medidas, políticas y sensibilización contra el fraude.
Prevenir la suplantación de identidad, phishing, anuncios falsos e infracción de la propiedad intelectual
Las empresas que quieran protegerse contra estas técnicas de fraude deben optar por soluciones de monitorización que permitan detectar:
- Dominios ocupados, esto es, dominios registrados por terceros que usan la marca de la empresa en el nombre de dominio.
- Páginas web clonadas.
- Perfiles falsos en redes sociales.
- Anuncios falsos en páginas de reservas o compra de servicios
Para ello, deberán monitorizar dominios, pero también detectar palabras clave e imágenes en los contenidos de redes sociales y páginas web. De este modo, pueden escanear estas páginas o redes sociales y detectar la mención de la marca junto con palabras sospechosas como “barato”, “chollo”, “oferta”, etc., o detectar imágenes con copyright (de un apartamento, una fotografía de un destino o equipamiento, etc.) en contenidos publicados por terceros.
Lo que esto nos permite, pues, es detectar usos fraudulentos de la marca o activos de la marca con copyright en contenidos de terceros. Un anuncio fraudulento de un apartamento en Booking.com sería un ejemplo.
Existen otros mecanismos preventivos, como el registro defensivo o bloqueo de dominios, con lo que las organizaciones pueden excluir del mercado nombres de dominios. Global Block es una buena opción para las empresas del sector Turismo, puesto que bloquea 700 extensiones de dominio para la marca y sus variantes. Entre las extensiones que bloquea encontramos 36 altamente relevantes para el sector: .apartments .cruises .flights .holiday .rentals .tours .travel .vacations .viajes… Esto implica un ahorro considerable respecto al registro individual de estos dominios y todas las variantes posibles.
Prevenir las reservar fraudulentas
Para evitar la estafa, es recomendable aplicar medidas que detecten identidades falsas, tarjetas de crédito no válidas o incluso patrones de conducta:
- Verificación de la identidad del cliente mediante documentación válida a través de plataformas o servicios de verificación de identidad.
- Uso de servicio de pago seguros que ofrezcan autenticación adicional, como autenticación en dos pasos o verificación de la identidad del titular de la tarjeta.
- Detección de reservas sospechosas: reservas de última hora, de poco tiempo y gran valor.
- Soluciones de detección de tarjetas de crédito robadas o números de teléfono falsos.
Prevenir el robo de datos
Es imprescindible implementar medidas de ciberseguridad para prevenir cualquier brecha de seguridad y ataque mediante malware, con los que pueden acceder a información sensible de clientes y, con ella, realizar tanto ataques a usuarios como reservas fraudulentas.
Las herramientas de monitorización de la Deep Web y Dark Web nos permiten detectar la venta ilegal de datos robados a través de la monitorización de información de señuelo en nuestra base de datos o palabras clave como la marca.
Conclusiones
Las organizaciones del sector Turismo deben implementar medidas de prevención, especialmente antes de las temporadas de máxima actividad. Las principales amenazas giran en torno a la suplantación de la marca para estafar a los consumidores, el robo de datos sensibles de clientes y su uso para realizar reservas fraudulentas.
Existen múltiples medidas que las organizaciones deberían implementar para mitigar el riesgo.
Desde Ubilibet os animamos a asesoraros sobre las soluciones más adecuadas en base a vuestras casuísticas y necesidades.
¿Necesitas ayuda con un dominio o contenido fraudulentos?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.