Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, ha detectado un aumento de las ciberamenazas dirigidas al sector turístico. En mayo de 2025 se registraron más de 39.000 nuevos dominios relacionados con vacaciones, lo que representa un incremento del 55% respecto al mismo período del año anterior. De estos dominios, 1 de cada 21 fue clasificado como malicioso o sospechoso.

Auge de estafas dirigidas a turistas y anfitriones

Este repunte no es casual. Los ciberdelincuentes están aprovechando el incremento estacional en la planificación de viajes para lanzar campañas de phishing cada vez más sofisticadas. Estas estafas tienen como objetivo tanto a viajeros que buscan reservar alojamientos como a propietarios de inmuebles. Las tácticas empleadas imitan servicios confiables como Airbnb y Booking.com, utilizando logotipos falsificados y encabezados de correo manipulados para robar credenciales o datos de pago.

El sector hotelero también está bajo ataque. En mayo de 2025, el número promedio de ataques semanales por organización en esta industria alcanzó los 1.834, lo que representa un aumento del 48% con respecto a mayo de 2024 y un incremento del 78% en dos años.

Ejemplos de campañas maliciosas detectadas

Estafa de phishing de Airbnb: robo de datos de pago

Check Point Research identificó un sitio de phishing bajo el dominio clflrm-relslrlv-today[.]com diseñado para suplantar a Airbnb. El sitio falsificaba la página de pago oficial de la plataforma, incluyendo su logotipo, para engañar a los usuarios y obtener datos sensibles como números de tarjeta, CVV y fecha de vencimiento. Actualmente, el sitio se encuentra inactivo.

Estafa de Booking.com: login falso con ReCAPTCHA malicioso

Otro caso detectado fue el dominio booking-lossitresn[.]com, registrado a principios de mayo, que imitaba la página de inicio de sesión de propietarios de Booking.com. Al ingresar las credenciales, aparecía una ventana emergente con un ReCAPTCHA falso. Tras verificar que el usuario «no era un robot», el sitio lo instaba a presionar combinaciones de teclas que ejecutaban un comando malicioso en PowerShell. Esto instalaba un troyano de acceso remoto (RAT), específicamente AsyncRAT.

Campaña de phishing por correo dirigida a propietarios de Booking.com

Check Point Research también ha detectado una campaña de correos maliciosos enviados a propietarios de alojamientos registrados en Booking.com. Los mensajes fingían provenir de un huésped que buscaba un objeto perdido e incluían un enlace que redirigía al sitio resrv-id89149[.]com (registrado el 26 de mayo), el cual simulaba ser una página de inicio de sesión de Booking. Aunque el sitio ya está inactivo, se sospecha que también fue usado para el robo de credenciales. El contenido de estos correos variaba levemente, lo que sugiere el uso de herramientas de IA generativa para evadir filtros de seguridad y reforzar la ingeniería social.

Check Point Research recuerda que los ciberdelincuentes no se toman vacaciones y recomienda seguir estos consejos para evitar estafas durante la planificación de viajes:

• Reservar únicamente desde fuentes oficiales: es preferible escribir manualmente la dirección del sitio web o utilizar aplicaciones confiables, evitando hacer clic en enlaces recibidos por correo electrónico o mensajes.
• Verificar cuidadosamente las URLs: es importante comprobar que no contengan errores ortográficos ni terminaciones de dominio inusuales (como .today o .info), que suelen asociarse a sitios fraudulentos.
• Activar la autenticación multifactor (MFA): esta medida añade una capa extra de seguridad, incluso si las credenciales de acceso se ven comprometidas.
• Evitar el uso de redes Wi-Fi públicas no seguras: siempre que se acceda a información sensible —como cuentas bancarias o portales de reservas— se recomienda utilizar una red privada virtual (VPN).
• Instalar soluciones de seguridad en los dispositivos: la protección integral en móviles y ordenadores permite detectar intentos de phishing y bloquear descargas maliciosas en tiempo real.

“Los ciberdelincuentes saben que durante la temporada alta de viajes la gente baja la guardia”, explica Rafael López, ingeniero de seguridad especializado en protección de correo electrónico de Check Point Software. “Diseñan estas estafas para que parezcan legítimas, con logotipos y pantallas de inicio de sesión falsas, lo que hace peligrosamente fácil caer en la trampa. Estos hallazgos son una llamada de atención tanto para los consumidores como para la industria del turismo para que redoblen sus esfuerzos en concienciación sobre ciberseguridad.”