Con la llegada del buen tiempo y el aumento de las reservas para las vacaciones de verano, también se incrementa el número de amenazas digitales dirigidas a los usuarios que planifican sus escapadas por internet. Una de las más preocupantes en la actualidad es la conocida como estafa Booking.
Se trata de una técnica de ciberdelincuencia que se aprovecha del auge en la búsqueda de alojamientos para engañar a los usuarios mediante páginas falsas que imitan portales legítimos de reservas.
Esta modalidad de fraude no es nueva, pero ha evolucionado con una notable sofisticación. Los ciberdelincuentes se sirven de páginas fraudulentas que copian el diseño de sitios como booking.com y aprovechan el momento de mayor presión digital —cuando los usuarios quieren cerrar rápidamente una reserva— para ejecutar su ataque.
El informe más reciente publicado por la compañía HP alerta de que esta campaña sigue activa y cada vez se diversifica más.
Cómo funciona la estafa Booking y por qué sigue creciendo
Según el informe de HP, la estafa Booking ha adoptado nuevos métodos en 2025, utilizando sitios clonados que resultan visualmente muy convincentes. Estas webs no solo imitan la interfaz de portales legítimos, sino que también emplean banners de cookies falsos. Al hacer clic en “Aceptar”, el usuario activa sin saberlo la descarga de un archivo JavaScript malicioso.
Este script instala en el sistema un troyano conocido como XWorm, que otorga al atacante acceso remoto completo al equipo infectado. Esto significa que los ciberdelincuentes pueden leer documentos, activar la cámara web y el micrófono, controlar el sistema de forma silenciosa e incluso desactivar herramientas de protección.
La estafa Booking aprovecha el agotamiento digital del usuario. Ian Pratt, director global de Seguridad para Sistemas Personales en HP, señala que “los usuarios se han vuelto insensibles a ventanas emergentes y solicitudes de permisos, lo que facilita el trabajo de los atacantes”. Es decir, no se necesitan técnicas extremadamente avanzadas: bastan acciones cotidianas como aceptar una ventana o abrir un archivo aparentemente inofensivo para abrir la puerta a una infección.
Herramientas cada vez más elaboradas
El equipo de investigación de HP también ha descubierto que los delincuentes no se conforman con una sola técnica. En esta nueva campaña de la estafa Booking, se han detectado archivos maliciosos disfrazados como documentos de la biblioteca de Windows. Al hacer clic en lo que parece un acceso directo a un PDF en una carpeta remota WebDAV, el malware se ejecuta sin levantar sospechas.
También se han utilizado presentaciones de PowerPoint maliciosas. Estas se abren en pantalla completa simulando el acceso a una carpeta, y al intentar salir de la presentación, se activa la descarga de un archivo comprimido que contiene scripts y ejecutables. Esta táctica engañosa resulta efectiva porque genera confianza visual, al replicar acciones comunes del entorno Windows.
Otro aspecto destacado del informe de HP es el creciente uso de instaladores MSI como vector de ataque. Este formato, muy habitual en instalaciones legítimas, está siendo explotado por campañas como ChromeLoader para distribuir malware firmado digitalmente. Esto les permite pasar por alto muchas de las alertas de seguridad de Windows, aumentando el riesgo para usuarios particulares y profesionales.
El ciclo de infección de la estafa Booking
La estafa Booking se basa en un ciclo de infección que explota comportamientos normales. El usuario, bajo presión por cerrar una reserva atractiva, accede a una web falsa que imita a un portal de renombre. Allí se le presenta una falsa política de cookies o se le ofrece descargar detalles de la reserva. Cuando acepta o abre el archivo, el troyano se instala y da comienzo el robo de datos.
Lo más preocupante es que este tipo de ataques no son puntuales. HP advierte que la campaña fue detectada por primera vez en el primer trimestre de 2025, coincidiendo con el repunte de reservas estivales. Meses después, sigue activa y evolucionando, con nuevos dominios y herramientas que mantienen el mismo señuelo de reservas vacacionales.
El impacto no es solo económico, sino también emocional. Muchas víctimas descubren la estafa cuando ya han pagado una reserva inexistente o cuando sus datos bancarios han sido comprometidos. El coste de este tipo de incidentes, en términos de pérdida de confianza digital, es muy elevado y afecta tanto a usuarios como a empresas del sector turístico.
Cómo evitar caer en este tipo de trampas
El informe de HP no solo describe la amenaza, sino que también insiste en la importancia de reducir la exposición durante los momentos críticos. La empresa destaca que aislar interacciones de alto riesgo, como hacer clic en banners desconocidos o ejecutar archivos descargados sin verificación, es clave para minimizar el impacto de ataques como la estafa Booking.
Revisar cuidadosamente la dirección del sitio web, evitar acceder a enlaces de correos o mensajes desconocidos, y activar medidas de seguridad como autenticación en dos pasos son algunas de las recomendaciones más eficaces. También es fundamental mantener los sistemas actualizados y utilizar soluciones de seguridad con protección en tiempo real.
Desde el punto de vista técnico, se recomienda prestar especial atención a los archivos que simulan documentos comunes. El uso de herramientas como PowerPoints modificados o accesos directos camuflados demuestra que los atacantes apuestan por engañar al usuario a través de la apariencia. Si algo parece familiar, pero se descarga automáticamente o solicita permisos inusuales, conviene actuar con cautela.
La realidad es que la estafa Booking es una manifestación más de un problema creciente: el uso de ingeniería social y contenido visualmente confiable para distribuir malware aprovechando la llegada de las tan ansiadas vacaciones.
