La industria hotelera se encuentra bajo una presión creciente por parte de cibercriminales, que aprovechan tanto vulnerabilidades internas en los establecimientos como campañas de phishing orientadas a sus clientes. Dos recientes incidentes ilustran cómo los atacantes no solo apuntan a la infraestructura de los hoteles, sino también a los huéspedes, explotando datos sensibles, reservas y sistemas de pago.

En el primer caso, según un informe de Sekoia.io, se ha detectado una campaña de ClickFix que inició en abril de 2025 y que permaneció activa al menos hasta octubre. Los atacantes comprometieron cuentas de correo de hoteles, incluso suplantando remitentes de plataformas de reservas, y redireccionaron a las víctimas a ejecutar un comando PowerShell que instala malware de tipo infostealer y RAT (troyano de acceso remoto).

Tras infiltrarse en los sistemas de los hoteles, los atacantes obtuvieron credenciales de plataformas de reservas como Booking o Expedia, y las vendieron en foros clandestinos. Luego, lanzaron ataques dirigidos a los clientes del hotel: correos electrónicos o mensajes de WhatsApp que aparentaban venir del propio hotel, usando detalles reales de la reserva (fechas, nombre, etc.). En esos mensajes se les pedía a los clientes “verificar” sus datos bancarios o solucionar “problemas de validación”, redirigiéndolos a páginas de phishing que imitan la tipografía y diseño de Booking.

Entre los elementos técnicos detallados por los investigadores, la cadena de ataque del ClickFix utilizaba un enlace que terminaba en un reto de tipo reCAPTCHA falso, engañando al usuario para que ejecute un script que descarga y lanza PureRAT. Este último permite al atacante control remoto de la interfaz, teclado, cámara, micrófono, exfiltración de archivos, entre otros. El informe advierte que todavía en octubre existían “cientos de dominios maliciosos activos”, lo que indica una campaña rentable, persistente y que todavía puede estar activa.

El segundo incidente reportado por Netcraft y difundido en TheHackerNews, revela que un grupo de habla rusa ha registrado más de 4.344 dominios falsos durante el año 2025 para llevar a cabo una campaña de phishing masivo dirigida a clientes de la industria hotelera. De esos dominios, 685 incluyen la palabra “Booking”, 18 “Expedia”, 13 “Agoda” y 12 “Airbnb”, lo que sugiere un foco directo en reservas de alojamiento y plataformas de alquiler.

La campaña, que comenzó en febrero de 2025, opera de la siguiente manera: se envía un correo electrónico que insta al destinatario a “confirmar su reserva en las próximas 24 horas” mediante tarjeta de crédito. Al hacer clic, el usuario es redirigido a un sitio falso que presenta un logotipo conocido (por ejemplo de Airbnb), opera en 43 idiomas y contiene una falsa verificación, donde se le pide que pague un depósito por su reserva y se le piden los datos de su tarjeta de crédito.

En algunos casos, se ha observado solapamiento entre esta campaña y la mencionada en el primer incidente, sugiriendo una posible relación o convergencia entre ambos enfoques de ataque al sector hotelero.

Ambos sucesos ponen en relieve que los viajeros ya no solo deben preocuparse por la calidad del alojamiento o el precio, sino también por la seguridad digital: tanto los hoteles como sus sistemas de reservas y los propios clientes se están convirtiendo en blancos atractivos para ataques cada vez más complejos y dirigidos. Es fundamental que los viajeros verifiquen la legitimidad de los correos que les llegan, eviten rellenar datos bancarios a través de links recibidos por canales inseguros, y que los hoteles refuercen sus controles internos para evitar comprometer tanto sus propias plataformas como la confianza de sus clientes.