Así roban tus datos en Booking.com y Amazon

. Por .

Última actualización 01/08/2024

En esta nota vamos a tratar un tema que pone en riesgo a gran parte de los viajeros, como lo es en el caso de Booking.com, y el peligro de estafas dentro de la plataforma de Amazon. Que, si bien no es algo exclusivo de los viajeros, en muchos casos de países como Argentina, se aprovecha muchísimo al viajar al exterior del país para conseguir productos a mejores precios o que simplemente no están disponibles en el país.

Seguro de Viajes en IATI

Viaja tranquilo, viaja Asegurado

En Viajo.org contratamos siempre nuestro Seguro de Viajes en IATI, empresa líder en el sector y con atención en tu idioma. Haz clic en el siguiente botón, y obtén un 5% de descuento.

Calcular Seguro de Viaje ➜
Índice de Contenidos

Así roban tus datos en Booking.com y Amazon

Seguramente leíste por ahí, o escuchaste el comentario de alguien que fue estafado o estuvo a punto de serlo a través de los mensajes privados de la plataforma de Booking.com, o ahora también, en Amazon.

Por supuesto uno siempre pone la culpa en la plataforma, pero lo cierto es que también hay cierta culpabilidad o responsabilidad en los proveedores externos de servicios de administración de alojamientos o venta de productos, o los mismos establecimientos hoteleros o vendedores.

Estafas en Booking.com

Este es un tema que trate el año pasado en otra nota, pero que en este quiero ir un poco más en profundidad sobre como es posible que los atacantes puedan hacerse con los datos de nuestra reserva o enviarnos mensajes a través de la mensajería interna del sitio.

Estafas en Booking, ¿hackeo? ¿tienen solución?

Estafas con Propiedades Inexistentes

La estafa promocionando propiedades inexistentes es algo que existe hace años, no es propio de Booking y es muy común en publicaciones de sitios clasificados o redes sociales. En Booking, cualquier persona puede dar de alta una propiedad, realizar falsas reservas para obtener algunas estadías confirmadas y luego esperar a temporadas altas para lograr su cometido: ofertar por debajo de la media e intentar estafar a los huéspedes. Luego, solicitando pagos previos a la llegada o pedir datos de tarjetas de crédito (robados para realizar cargos a nuestro nombre o venderlos) para confirmar la reserva, se completa la estafa y el hotel desparece o uno llega a destino y se encuentra con que no existía.

Hoteles/propiedades comprometidas y estafas vía mensajería interna de Booking

Aquí la cosa se puede volver un poco más técnica desde el lado de los criminales. Las cuentas de alojamientos comprometidas o hackeadas, pueden darse de al menos 3 formas.

  1. Los datos de acceso a Booking del alojamiento han sido comprometidos.
  2. Los datos de acceso a la plataforma de administración del alojamiento han sido comprometidos.
  3. La plataforma de administración de alojamientos ha sido comprometida.

Nunca transfieras dinero fuera del sistema de pagos de Booking.com

Los datos de acceso del alojamiento han sido comprometidos

No es demasiado complicado conocer el correo electrónico de la cuenta administradora de una propiedad en Booking, y suerte para los atacantes, generalmente se utilizan direcciones como reservas@, info@, administracion@ o similares. Una vez conocido el correo, los criminales pueden elegir por intentar engañar al hotel para que provea sus credenciales de acceso, o chequear si dicho correo se encuentra dentro de alguna filtración reciente que incluya datos de contraseñas.

¿Dónde chequear esto? En sitios como Have I Been Pwned es posible hacerlo. El sitio es completamente legal, su fin es de avisarnos si nuestros datos han sido expuestos, pero también se puede usar como fuente de información para ataques.

Ejemplo de un correo de un hotel popular de Madrid expuesto
Ejemplo de un correo de un hotel popular de Madrid expuesto

Así, vía filtraciones o robo de datos, los criminales pueden hacerse con la información de acceso a las plataformas, y comenzar a operar enviando mensajes falsos a los huéspedes.

La plataforma de administración de alojamientos ha sido comprometida

Ha pasado ya con multiples empresas, algunas lo solucionan rápido y otras ni se enteran.

Las PMS (Plataformas de gestión de propiedades), y la cero inversión en seguridad

Si, extremista o exagerado de mi parte quizás decirlo así, pero voy a relatar un caso reciente donde identifique una vulnerabilidad en dos servicios de una de las empresas italianas de PMS líderes en ese mercado.

Lo que relato a continuación fue reportado en Marzo 2024 a la empresa propietaria de la PMS, y las vulnerabilidades han sido solucionadas.

Tenemos un viaje a Italia en unas semanas, y a través de la plataforma donde reservamos nos llegó el pedido del propietario del departamento, de registrar nuestros datos personales previamente para cumplir con la legislación local de turismo, donde deben proveer los datos de sus huéspedes al gobierno. Esto muchas veces se hace al momento del check-in, y en algunos hoteles o propiedades de Airbnb se puede hacer online. Y es totalmente normal.

Para realizar esto de manera online, el anfitrión nos envió un enlace personalizado a una página generada por el PMS en cuestión, y en la misma podíamos ver datos básicos de nuestra reserva. Era una web real, legal y no era un intento de phishing. El siguiente paso era completar ciertos datos como fecha de nacimiento, número de documento o pasaporte, vencimiento del mismo, país, nacionalidad, etc.

Hasta aquí, todo normal, no requería subir fotos de pasaporte ni nada raro, pero como me gusta cuidar mis datos personales, analice cómo y dónde era enviada nuestra información. Nada loco ni muy complicado, solo utilizando las herramientas que incluye cualquier navegador.

Entre las peticiones realizadas al cargar la página y al momento de enviar los datos, identifique dos URLs desde la cuales la plataforma obtiene cierta información de la reserva y los datos personales solicitados una vez cargados. Algo que sería de normal funcionamiento si solo permitieran obtener dicha información a una persona autorizada para verla, es decir que yo solo pueda ver mis datos y no los de otra persona.

Pero noté algo raro y decidí investigar un poco más. Estas URLs permitían, con solo cambiar un número en la misma, solicitar y obtener datos de todos los huéspedes que alguna vez realizaron una reserva en un hotel o propiedad que utiliza este software PMS.

El primer servicio devolvía los siguientes datos personales entre otra información:

  • Nombre
  • Apellido
  • Correo electrónico
  • Telefono
  • Ciudad de residencia
  • Pais de residencia
  • Creación de la reserva

El segundo servicio, traía de regreso toda la información suministrada por el huésped para cumplir con la legislación italiana, y aquí es donde encontré datos más sensibles, y no solo de la persona titular de la reserva, sino también del resto de los huéspedes dentro la misma.

  • Nombre
  • Apellido
  • Correo electrónico
  • Telefono
  • Ciudad de residencia
  • Pais de residencia
  • Nacionalidad
  • Pais del pasaporte
  • Número de pasaporte o cédula de Identidad
  • Fecha de nacimiento
  • País de nacimiento
  • Ciudad de nacimiento
  • Genero
  • Fecha creación de la reserva

Luego de mi análisis inicial, identifique que el 88.40% de los datos pertenecen a huéspedes de Booking, estamos hablando de decenas de miles de reservas en el último año solamente.

A simple vista, no parece demasiado y no hay datos de pagos expuestos, pero es aquí donde comienza la estafa aprovechando la mala configuración de las «Preferencias de mensajes» en Booking.com

Conociendo el correo electrónico de un huésped, y si el hotel o propiedad no ha cambiado la configuración por defecto, uno puede enviar mensajes tan solo escribiendo un email a dicho correo, y el contenido se le mostrara al huésped dentro de la mensajería de la reserva en Booking.

Ejemplo de ataque via mensajería privada de Booking

Mi padre posee una propiedad de alquiler vacacional en Los Reartes, Córdoba. Y para esta prueba realice una reserva en la misma, dejando la configuración por defecto para la propiedad. Una vez generado el correo de huésped por Booking, comencé la prueba de concepto del ataque.

Envié 3 mensajes, 2 con la configuración por defecto, y 1 restringiendo las comunicaciones por email.

Ahora, ingresando a mi cuenta como huésped, puede ver los primeros mensajes que aparentan ser de la propiedad, y uno de ellos con un enlace sospechoso, y sin ningún bloqueo o advertencia por parte de Booking.

En la aplicación de Booking se ve de la misma manera:

Como podrán apreciar, el tercer mensaje no llegó debido a que para ese momento ya había bloqueado la comunicación por email con nuestros huéspedes.

Pero del lado del hotelero o propietario, así se ven estos mensajes. Y esto lo muestro para que vean que no es algo que solo recibe quien se aloja, se ve de ambos lados.

Y por motivos de protección para ambas partes, lo que se escribe en mensajería interna no puede ser eliminado, lo que significa que quien ofrece la propiedad tampoco puede eliminar los mensajes de los atacantes, no hay opción para hacerlo.

¿Culpa en Booking o la responsabilidad de los hoteleros?

Booking ha sido muy laxo en cuanto a los controles o limitaciones que podrían haber aplicado en su mensajería interna luego de que empezaran a conocerse los miles de casos de estafas en su web. Les tomó más de 10 meses al menos comenzar a concientizar a los administradores de propiedades turísticas y sumar configuraciones extra que aún son opcionales para prevenir esto.

En la siguiente pantalla, un administrador de una propiedad en Booking, puede ahora elegir si permite o no que cualquier casilla de correo electrónico pueda enviar mensajes a los emails de los huéspedes, o si sólo autoriza correos específicos, y por último si activa el envío de enlaces o aprueba solo algunos. Esto último es útil en países donde necesitas que el huésped complete datos adicionales necesarios para el check-in, o alojamientos como los rurales, donde sea necesario enviar un enlace de mapas sobre como llegar.

Como pueden ver, por defecto aun se permite que cualquier persona contacte a tus huéspedes si conoce su correo de reserva y envíe cualquier tipo de enlaces, incluso los maliciosos.

Si no se utilizan los correos de reserva de los huéspedes, lo mejor es activar estas opciones.

Los correos electrónicos generados por Booking para contactar a los huéspedes tienen el siguiente formato:

[primera letra nombre][5 primeras letras apellido].[6 digitos]@guest.booking.com

Ejemplo: mabera.123456@guest.booking.com

Los amigos de InfoViajera vienen alertando desde hace tiempo sobre este tipo de estafas en Booking, les dejo algunos de sus artículos publicados al respecto:

Estafas en Amazon.com

Amazon, siendo una de las plataformas de comercio electrónico más grandes del mundo, atrae inevitablemente a estafadores que buscan aprovecharse de los compradores desprevenidos. A continuación, describo algunos de los tipos más comunes de estafas.

Estafas en Amazon a través de falsas ofertas

En los últimos tiempos, hemos observado un aumento preocupante en las ofertas falsas en Amazon. Este fenómeno ocurre cuando los vendedores son hackeados y, de repente, nos encontramos con productos muy populares que se ofrecen a precios realmente bajos.

Me enteré de esta modalidad a través de Efi, que vive en Berlín, Alemania. Ellos estaban buscando comprar una aspiradora robot de determinada marca, y hace poco vieron que el precio había bajado sustancialmente, alrededor de un 50%, y decidieron comprarla.

Reel en Instagram donde Efi cuenta el caso y como procedieron:

Modus operandi

Los delincuentes se hacen con credenciales de acceso de tiendas online, tanto en plataformas como Amazon, eBay, etc., o de software de administración de stock en múltiples canales, como por ejemplo Sellbrite.com de GoDaddy.

A través de ese acceso, rebajan los precios de los productos drásticamente, o reemplazan todo el inventario del vendedor con productos de alta demanda a precios extremadamente bajos. Por ejemplo, una pequeña tienda de papelería que normalmente vende bolígrafos podría empezar a ofrecer televisores de alta gama o una farmacia en línea podría comenzar a vender lavarropas/lavadoras.

Una vez realizada una venta, el atacante envía un mensaje privado a la persona compradora, avisando que hubo un problema con el pago y que como este no ha llegado, deberá realizarlo a través de una transferencia por fuera de la plataforma, Amazon en este caso. Puede solicitar pagos vía transferencia bancaria, o WesternUnion en ciertos casos. Esto último depende de la modalidad de extracción de dinero de los atacantes.

Nunca transfieras dinero fuera del sistema de pagos de Amazon.

Las cuentas utilizadas para recibir dichos pagos, son generalmente cuentas comprometidas o compradas en ciertos foros, por lo que no representan la identidad real del atacante. Seguramente apenas ingrese el dinero a la misma, este será desviado rápidamente hacia otro sitio, volviendo casi imposible su recuperación.

Ejemplos Recientes

Plattenkiste, una disquera vendiendo TV de alta gama

Un caso del último año en Alemania involucró a un vendedor llamado «Plattenkiste», conocido por vender CDs y vinilos. De un día para otro, su cuenta comenzó a ofrecer televisores Samsung a precios increíblemente bajos, como un televisor de 55 pulgadas por solo 300 €. Este tipo de precios son un claro indicio de una oferta falsa, ya que los vendedores suelen utilizar precios psicológicos cómo 299,99 € o 299,95 €  y no números redondos cuando se trata de una oferta.

Tienda de electrónica con una oferta imposible

Hace justo unos días estábamos buscando televisores, y nos encontramos con esta publicación de Amazon de un TV Samsung The Frame, rebajado un 87%!! Una locura, demasiado bueno para ser real, pero la verdad es que al chequear las ventas de este producto en diferentes plataformas, sus reviews y siendo un modelo viejo (2021), cuadraba un poco que el vendedor pudiera hacer algún tipo de oferta. Pero 380 € por un TV así, era irreal aunque tuve mis dudas.

Gracias al uso de sitios y extensiones como Keepa o camelcamelcamel, uno puede comprobar fácilmente si un producto tuvo cambios de precios, que tan reciente, y cuanto bajo el mismo.

En esta captura puede notar como el producto fue de 2.399 €, a 380 €, luego subió a 400 € y finalmente quedó en 500 €, todo en un mismo día. Los atacantes estaban probando diferentes precios, intentando encontrar el punto ideal para lograr una mayor cantidad de víctimas.

La publicación en este caso era real, el mismo producto incluso, por lo que contaba con reviews relacionados y relevantes, no eran reseñas de un libro en un producto de un TV.

Además, habían rebajado el precio de esta manera varias veces en el último mes. Nadie había detectado esta publicación aun.

¿Cómo se difunden estas ofertas?

Muchas personas descubren estas ofertas a través de portales de comparación de precios como Idealo en Alemania. Los usuarios configuran alertas de precios para productos específicos y, cuando el precio cae por debajo de un umbral determinado, reciben una notificación. Los criminales aprovechan esto para atraer a compradores desprevenidos.

Cómo detectar ofertas falsas

Detectar ofertas falsas en Amazon puede ser un desafío, pero hay varias señales de advertencia y herramientas que los compradores podemos utilizar para protegernos.

Señales de Advertencia

  • Precios demasiado bajos: Si un producto se ofrece a un precio significativamente más bajo que el de otros vendedores, esto puede ser una señal de advertencia.
  • Vendedores con pocas reseñas: Los vendedores con pocas o ninguna reseña pueden ser menos confiables.
  • Mensajes de pago fuera de la plataforma: Cualquier solicitud de realizar un pago fuera del sistema de pagos de Amazon es una clara señal de estafa.

Herramientas de Verificación

  • Keepa y camelcamelcamel: Estas herramientas permiten a los compradores rastrear el historial de precios de un producto en Amazon, lo que puede ayudar a identificar cambios de precios sospechosos.
  • Revisar Reseñas: Leer reseñas de productos y vendedores puede proporcionar información valiosa sobre la legitimidad de una oferta.

Como denunciar publicaciones falsas o estafas en Amazon

No quería que esta publicación siguiera en línea, por lo que busque y utilice el Formulario de denuncia de Estafas/SCAM de Amazon, en la descripción explique el motivo, aclare que no había sido afectado directamente pero que claramente había algo sospechoso con la cuenta de esa empresa en particular.

Luego del reporte, recibí un correo genérico agradeciendo por la denuncia, y luego de 5 horas aproximadamente, note que el producto y la tienda online ya no estaban disponibles. Ahora, al ingresar a la URL del producto, se ve una descripción más genérica del TV, pero sin opciones de compra directa. La cuenta de la tienda parece estar suspendida, y asumo que lo estará hasta que la empresa solucione el problema de sus accesos de su lado.

Foto del autor

Martín Aberastegue

Blogger de viajes desde 2007 por pasión y especialista en marketing y tecnología por profesión.
Actualmente trabajo como Lead SEO & SEA Manager en Pets Deli, en Berlin (Alemania).

Descuentos y promociones

🚶‍♂️ Reservá los mejores tours gratuitos y excursiones para tu viaje en Civitatis.

🕒 ¿Vuelo cancelado o con retraso? Hasta 600 € de compensación. Comprueba si calificas con AirHelp.

🏥 5% OFF en tu Seguro de Viaje IATI. La empresa que utilizamos en todas nuestras aventuras.

📱 Viajá siempre conectado/a, comprá tu eSIM en Holafly. ¡Con el cupón VIAJOBLOG tenes 5% OFF!

🗽 ¿Viajas a New York? No olvides tu New York CityPASS y ahorrá hasta un 42% en tus visitas.

✈️ 10€ de Descuento en Omio en tu primer viaje.

🚗 🇦🇷 Alquila tu Auto en BookingCars. Con el cupón VIAJO obtenes un 5% de Descuento en tu reserva.

Contenido relacionado

Deja un comentario