En plena temporada de vacaciones, cuando miles de personas realizan reservas de hoteles y alojamientos, los ciberdelincuentes aprovechan el contexto perfecto para lanzar campañas de estafa por correo electrónico. En los últimos días, empresas de ciberseguridad como ESET han advertido sobre un aumento significativo de correos fraudulentos que se hacen pasar por Booking.com, con el objetivo de infectar equipos y robar información sensible.

Este tipo de ataques no solo afecta a usuarios comunes, sino también a empresas, agencias de viaje y trabajadores del sector turístico.

¿En qué consiste la nueva estafa que suplanta a Booking?

Los correos falsos utilizan la imagen, el lenguaje y el diseño visual de Booking.com, lo que dificulta distinguirlos de mensajes legítimos. En el contenido del correo, los atacantes suelen alertar sobre:

  • Problemas con una reserva

  • Reembolsos pendientes

  • Cancelaciones inesperadas

  • Verificación urgente de datos

El mensaje busca generar urgencia, haciendo que el usuario haga clic sin analizar los detalles.

La técnica detrás del ataque: ClickFix

Según el análisis de ESET y Securonix, esta campaña utiliza una técnica conocida como ClickFix, una forma avanzada de ingeniería social.

A diferencia de los ataques tradicionales que explotan fallos técnicos, ClickFix se basa en convencer al usuario de ejecutar por sí mismo comandos maliciosos.

De acuerdo con el ESET Threat Report, durante el primer trimestre de 2025:

  • Las detecciones de ClickFix crecieron más de un 500%

  • Se convirtió en el segundo vector de ataque más común, solo detrás del phishing tradicional

¿Qué ocurre cuando el usuario hace clic?

  1. El enlace del correo redirige a un sitio web falso que imita a Booking.com

  2. El navegador muestra un mensaje indicando que la página tarda demasiado en cargar

  3. Al presionar “recargar”, el sitio pasa a pantalla completa

  4. Aparece una falsa pantalla azul de Windows (BSOD) simulando un error crítico

  5. La pantalla muestra instrucciones para ejecutar comandos en PowerShell o Ejecutar (Win + R)

¿Qué malware se instala?

Si el usuario sigue las instrucciones, se inicia una cadena de infección que incluye:

  • Descarga de un proyecto .NET compilado con MSBuild.exe

  • Instalación del troyano de acceso remoto DCRAT

  • Desactivación de Windows Defender

  • Obtención de persistencia y elevación de privilegios

Capacidades del malware:

  • Control remoto del equipo

  • Registro de pulsaciones de teclado (keylogger)

  • Robo de contraseñas y datos bancarios

  • Descarga de malware adicional (mineros de criptomonedas, spyware)

  • Propagación lateral en redes empresariales

Claves para evitar caer en este tipo de estafas

Para usuarios:

  • Verifica siempre el remitente real del correo

  • Desconfía de mensajes que generen urgencia

  • Nunca ejecutes comandos enviados por correo o mostrados en supuestas pantallas de error

  • Accede a Booking escribiendo la URL manualmente

  • Mantén tu sistema y antivirus actualizados

Para empresas:

  • Capacitar al personal en ingeniería social

  • Implementar soluciones de seguridad que detecten abuso de herramientas legítimas

  • Restringir la ejecución de PowerShell y scripts no autorizados

  • Monitorear actividad sospechosa en endpoints

Educación digital: la mejor defensa

Las amenazas actuales ya no dependen únicamente de exploits sofisticados. Hoy, el engaño, la manipulación y la presión psicológica son las armas principales de los ciberdelincuentes.

Entender cómo funcionan estas estafas es clave para:

  • Proteger información personal

  • Evitar pérdidas económicas

  • Reducir riesgos en entornos laborales

Conclusión

Si algo parece urgente, alarmante o demasiado técnico para ser resuelto por correo, detente y verifica. Ninguna empresa legítima te pedirá ejecutar comandos ni instalar software para “arreglar” una reserva.

En ciberseguridad, la desconfianza informada es una virtud.