El problema: su hotel no fue hackeado, pero perdió el dinero
Esta es la paradoja que se repite en hoteles de México y América Latina: el director de TI revisa los servidores, los auditores confirman que nada fue comprometido técnicamente, y sin embargo el huésped ya transfirió dinero a una cuenta que no es del hotel. El dinero se fue. La reputación también pagó un precio.
¿Qué ocurrió? El atacante no entró a los servidores. Entró a la confianza. Utilizó la infraestructura legítima de Booking.com —la cuenta oficial del hotel dentro de la plataforma— como vector de ataque. Y desde esa posición privilegiada, operó con total credibilidad.
«Los sistemas de Booking.com no fueron vulnerados. Se trata de un esfuerzo coordinado de atacantes para cometer fraude contra los partners mediante correos de phishing.»
Booking.com — Comunicado oficial, 2024
Este tipo de ataque se llama BEC: Business Email Compromise (Compromiso de Correo Empresarial). Según el FBI, el BEC generó pérdidas globales superiores a 2,900 millones de dólares solo en 2023, convirtiéndolo en el cibercrimen que más dinero produce en el mundo. El sector hotelero es uno de sus blancos predilectos.
Storm-1865: el grupo que eligió al sector hotelero
En diciembre de 2024, Microsoft Threat Intelligence documentó una campaña de phishing activa que en febrero de 2025 seguía en operación. El grupo responsable está catalogado como Storm-1865 y tiene un historial consistente de ataques al sector de viajes y hospitalidad:
- 2023: Atacó a huéspedes de hoteles directamente a través de cuentas comprometidas en Booking.com
- 2024: Amplió su operación a plataformas de comercio electrónico con técnicas similares
- 2024-2025: Incorporó la técnica ClickFix, que burla los filtros convencionales de antispam y antimalware
Los hoteles son blancos estratégicos por tres razones operativas: trabajan con flujos de dinero constantes vinculados a reservaciones y cancelaciones, su personal de recepción está entrenado para seguir instrucciones de plataformas sin cuestionarlas, y la alta rotación de personal dificulta mantener capacitación actualizada en ciberseguridad.
Check Point Research detectó más de 39,000 nuevos dominios relacionados con reservaciones y turismo en mayo de 2025. Uno de cada 21 era malicioso o sospechoso, muchos diseñados específicamente para suplantar a Booking.com, Airbnb y portales similares en México y LATAM.
Anatomía del ataque paso a paso
Entender exactamente cómo funciona el ataque es el primer paso para bloquearlo. No es un virus que infecta servidores: es una cadena de ingeniería social que explota procesos operativos cotidianos.
| Fase | Qué hace el atacante | Nivel de riesgo |
|---|---|---|
| 1. Reconocimiento | Identifica hoteles activos en Booking.com con alto volumen de reservas o reseñas recientes | Medio |
| 2. Phishing inicial | Envía correo falso al staff del hotel simulando ser Booking. Usa ClickFix para instalar un infostealer (ladrón de credenciales) en el equipo de la víctima | Crítico |
| 3. Acceso a la cuenta | Con las credenciales robadas accede al panel oficial del hotel en Booking.com. Tiene acceso completo a todas las reservas activas, datos de huéspedes y canales de comunicación | Crítico |
| 4. Ejecución del fraude | Contacta a huéspedes con reservas activas desde la cuenta oficial del hotel, creando urgencia falsa y redirigiendo a una página de pago fraudulenta visualmente idéntica a Booking | Crítico |
| 5. Exfiltración | Obtiene datos de tarjetas bancarias o transfiere pagos a cuentas bajo su control. El dinero se mueve en minutos; la recuperación es casi imposible | Crítico |
La razón por la que estos ataques tienen una tasa de éxito tan alta es devastadoramente simple: el mensaje proviene de la cuenta oficial del hotel dentro de Booking.com. No hay ninguna señal externa que alerte al huésped. Y para cuando se detecta el fraude, el dinero ya no está.
«Storm-1865 envía correos que hacen referencia a reseñas negativas, solicitudes de posibles clientes y verificación de cuentas —exactamente el tipo de mensajes que el personal de un hotel espera recibir.»
Microsoft Threat Intelligence — Marzo 2025
Los 4 riesgos reales para su propiedad
Los directores y gerentes deben entender que el impacto de un incidente BEC va mucho más allá de la pérdida económica inmediata:
Pérdida económica directa
Transferencias y cargos fraudulentos raramente recuperables. Casos documentados van de €500 a más de $10,000 USD por incidente. Un usuario en España perdió €1,000 sin poder revertir la operación.
Daño reputacional severo
El huésped estafado asocia el fraude con el hotel, no con el atacante. Las reseñas negativas en Booking y Google son inmediatas, públicas y persistentes.
Responsabilidad legal
Dependiendo de la jurisdicción en México y LATAM, el hotel puede enfrentar reclamaciones de huéspedes afectados por no implementar medidas de seguridad razonables.
Suspensión en la plataforma
Booking.com puede suspender o penalizar cuentas comprometidas mientras investiga el incidente, afectando directamente la captación de nuevas reservas.
Protocolo de protección: 5 acciones concretas para implementar esta semana
Estas acciones no requieren grandes inversiones. Requieren disciplina operativa y una conversación con su equipo:
Plan de acción anti-BEC para hoteles
La autenticación de dos factores detiene el 99% de los intentos de acceso con credenciales robadas. Aplica a todos los perfiles del panel, no solo al administrador principal.
Ningún miembro del equipo procesa cambios de cuenta bancaria o nuevas transferencias sin una segunda verificación directa con el gerente, independientemente de quién envíe el mensaje o por qué canal.
Una sesión de 45 minutos mostrando capturas de correos reales de ataques documentados transforma la percepción del personal de recepción. Ver es creer; leer una política no es suficiente.
¿Cuántas personas tienen acceso completo al panel? Defina roles y permisos. Revoque accesos inmediatamente cuando alguien deje de trabajar en el hotel.
Sin estos tres protocolos activos, cualquier atacante puede enviar correos que parecen venir del dominio del hotel. Son la base técnica mínima para evitar suplantación de identidad.
Si ya fue víctima: protocolo de respuesta en las primeras horas
Las primeras horas después de detectar un fraude son las únicas en que existe alguna posibilidad de recuperación parcial. Siga este orden sin excepción:
- Cambie inmediatamente todas las contraseñas del panel de Booking.com y del correo corporativo asociado.
- Notifique a Booking.com a través del canal oficial de soporte para partners/hoteles. Documente todo.
- Contacte a su banco para intentar una reversión SPEI o chargeback. Cada minuto cuenta.
- Notifique proactivamente a los huéspedes potencialmente afectados. Un mensaje claro protege su reputación más que el silencio.
- Presente denuncia ante CONDUSEF y la Fiscalía por fraude informático. Aunque la recuperación sea difícil, el reporte alimenta las investigaciones nacionales.
- No borre ninguna comunicación. Correos, chats de Booking, mensajes de WhatsApp: todo es evidencia para las autoridades y para el proceso de reclamación.
- Solicite una auditoría de seguridad antes de reanudar operaciones normales en la plataforma.
Cómo Mail Gurú de RealNet bloquea estos ataques
El correo electrónico es la puerta de entrada del 91% de los ciberataques empresariales. El vector inicial de Storm-1865 —el phishing ClickFix que roba las credenciales del hotel— llega siempre por correo. Bloquearlo en ese punto corta toda la cadena del ataque.
Servicio RealNet · México & LATAM
Protección avanzada de correo corporativo contra BEC y phishing hotelero
Mail Gurú es el servicio gestionado de seguridad de correo de RealNet, diseñado para empresas en México y LATAM que necesitan protección robusta sin tener un equipo de seguridad interno. Actúa como una capa de defensa inteligente entre los atacantes y su equipo.
Mientras su equipo trabaja con Booking y gestiona reservaciones, Mail Gurú trabaja en segundo plano asegurando que ningún correo de Storm-1865 ni de cualquier otro atacante llegue a sus manos como si fuera legítimo.
Preguntas frecuentes sobre fraudes BEC en hoteles
Estas son las preguntas que más nos hacen los directores y gerentes de hoteles después de un incidente o antes de implementar medidas de seguridad:
El fraude BEC en hoteles ocurre en 5 fases: primero, el atacante envía un correo phishing al staff del hotel para robar sus credenciales de acceso a Booking.com. Con esas credenciales, accede al panel oficial del hotel y consulta todas las reservas activas. Luego contacta a huéspedes con reservas próximas desde la cuenta oficial del hotel, creando una situación urgente (verificación de pago, error técnico). El huésped sigue el enlace fraudulento que parece Booking y entrega sus datos bancarios o realiza una transferencia. El dinero llega a cuentas controladas por el atacante y raramente se recupera.
Storm-1865 es un grupo cibercriminal documentado por Microsoft Threat Intelligence en diciembre de 2024. Opera en América del Norte, Europa, Oceanía, Sur y Sudeste Asiático. En América Latina sus ataques se dirigen específicamente a hoteles y operadores de viajes que usan Booking.com como canal principal de reservaciones. La campaña seguía activa en febrero de 2025 e incorporó la técnica ClickFix para instalar malware sin activar los filtros convencionales.
Las 6 señales de alerta son: 1) Urgencia extrema con plazo de 24 horas para actuar «o se pierde la reserva». 2) Solicitud de cambio de cuenta bancaria después de una cancelación o reembolso. 3) Dominio del remitente casi idéntico al original (b0oking.com, booking.com.mx, booking-verificacion.com). 4) Petición de datos bancarios o contraseñas por correo electrónico o WhatsApp. 5) Técnica ClickFix: mensaje que te pide copiar y pegar un código para «solucionar un error técnico en el navegador». 6) Comunicación que llega fuera de los canales oficiales de la plataforma.
Actúa en este orden inmediatamente: 1) Cambia todas las contraseñas del panel de Booking y del correo corporativo. 2) Notifica a Booking.com por el canal oficial de soporte para hoteles. 3) Contacta a tu banco para intentar reversión SPEI o chargeback. 4) Notifica proactivamente a los huéspedes afectados. 5) Presenta denuncia ante CONDUSEF y la Fiscalía. 6) No borres ninguna comunicación —todo es evidencia—. 7) Solicita una auditoría de seguridad antes de reanudar operaciones normales en la plataforma.
Mail Gurú es el servicio de protección de correo corporativo de RealNet, empresa mexicana de ciberseguridad con más de 32 años de experiencia. Protege a los hoteles contra BEC y phishing mediante: filtrado antiphishing con inteligencia artificial que bloquea correos de Storm-1865 y grupos similares antes de que lleguen al equipo; implementación y gestión de protocolos SPF, DKIM y DMARC que impiden que atacantes suplanten el dominio del hotel; y monitoreo continuo 24/7 con alertas en tiempo real. Bloquea el vector inicial del ataque (el correo phishing que roba las credenciales), cortando toda la cadena antes de que el atacante llegue al panel de Booking.
No. Booking.com ha confirmado que sus sistemas no fueron vulnerados. Lo que ocurre es diferente: los atacantes comprometen las cuentas individuales de los hoteles (no la infraestructura de Booking) mediante phishing externo. Una vez que tienen las credenciales del hotel, acceden al panel legítimo de Booking desde dentro y operan como si fueran el hotel. Por eso los mensajes parecen venir de fuentes oficiales: técnicamente, sí están siendo enviados desde la cuenta real del hotel dentro de la plataforma. La plataforma no puede distinguir si quien opera la cuenta es el hotel legítimo o un atacante con las credenciales robadas.
Fuentes y referencias verificadas
Microsoft Threat Intelligence — Campaña Storm-1865 suplantando a Booking.com (marzo 2025)
HuffPost España — Hackeo en Booking.com y estafas de secuestro de reservas
WeLiveSecurity / ESET Research — Las estafas más comunes en Booking (abril 2024)
Infobae Tecno — Nueva modalidad de estafa en Booking (julio 2024)
Check Point Research — Detección de 39,000+ dominios maliciosos de turismo (mayo 2025) · InfoHoreca
Perception Point — Análisis de ataques a cuentas hoteleras en Booking.com (2024)
