La IA dispara las estafas en las cancelaciones de reservas hoteleras

Las reservas hoteleras han sido tradicionalmente una rareza en el turismo en España. Solo los viajeros extranjeros más previsores optaban por reservar con antelación sus vacaciones, mientras que el resto apuraba los plazos en busca de buenas ofertas. Este esquema saltó por los aires con la pandemia y los empresarios tuvieron que crear la cancelación de la reserva sin coste como un incentivo para atraer una demanda que se volatilizó en 2020.

Cinco años después, ese sistema se mantiene y ha propiciado que el número de reservas se haya multiplicado exponencialmente. Y en paralelo también el de las cancelaciones sin coste. Y ese crecimiento ha llamado la atención de los hackers, que han sofisticado sus métodos para tratar de estafar a los miles de turistas que cancelan sus reservas hoteleras. Así lo ha recogido una denuncia realizada a mediados de junio ante el Instituto Nacional de Ciberseguridad (Incibe) a través del número de teléfono 017.

En la denuncia, el Incibe informa que el usuario se puso en contacto con una página de reservas para cancelar una estancia de hotel relacionada con un viaje profesional. En la citada plataforma le indicaron que el trámite que quería hacer lo debía realizar a través de un número de teléfono que le proporcionaron. “Durante la llamada le indicaron que debía descargar una aplicación en su dispositivo y, para verificar su identidad, era necesario que subiera una foto de su DNI”, recalca la denuncia.

José Luis Díaz, consejero delegado en España y Portugal de la firma francesa de ciberseguridad Advens, recalca que este tipo de estafas ligadas a las reservas hoteleras no son ocasionales, sino que se han convertido en masivas y que el modus operandi necesita de la colaboración necesaria del usuario. “Como en este caso, te van a pedir datos, como una foto del DNI, que normalmente no te pide tu entidad bancaria. Lo recomendable es utilizar el sentido común. Este tipo de campañas masivas están dirigidas a ciertos perfiles que no están acostumbrados a manejarse con soltura en el entorno digital”.

En el caso de la denuncia recogida por Incibe, el usuario procedió a la descarga de la aplicación y a subir la foto del DNI que le habían solicitado. “Tras instalar la aplicación comenzaron a tomar el control de su dispositivo, accediendo a sus aplicaciones bancarias y solicitándole datos de su tarjeta. En ese momento, vio que intentaban realizarle un cargo de 1.500 euros, por lo que apagó el teléfono de inmediato. Y decidió ponerse en contacto con nosotros para saber qué debía hacer”. Díaz recomienda los pasos a seguir a todo usuario que se vea envuelto en una estafa de este tipo: “Debe llamar al 017 para denunciarlo y posteriormente cambiar las contraseñas e incluso anularlas”.

Miguel López, director para el sur de la región de Europa, Oriente Medio y África de la firma estadounidense de ciberseguridad Barracuda Networks, incide en la importancia que ha tenido la inteligencia artificial (IA) en la generalización de estos ciberataques. “Existen herramientas a disposición de usuarios particulares y empresas que te permiten suplantar la identidad de una plataforma en cuestión de minutos y de hacerlo de una manera verosímil. Incluso cuenta con un servicio de atención al cliente para guiarte en función del delito que quieras cometer, ya sea robo de información, robo de dinero o usurpación de identidad”.

López reconoce que es difícil aportar seguridad a los clientes en un entorno legal en el que los delincuentes actúan con cierta impunidad. “Este tipo de operaciones se pueden desarrollar en cualquier ámbito y desde cualquier país para esquivar legislaciones. Y eso hace muy difícil meterles mano”. En cualquier caso, cree que la estrategia adecuada para cualquier empresa debe combinar la minimización del riesgo y del impacto de estos ciberataques. “Hoy nadie te puede garantizar el 100% de seguridad, pero con una estrategia y una inversión adecuada, se puede reconducir el nivel de riesgo”.