Como un camaleón, que cambia la pigmentación de su piel en función del contexto y la situación para pasar desapercibido, los ciberdelincuentes adaptan sus campañas según las tendencias, las noticias y la época del año. La declaración de la renta, la pandemia, las compras de Navidad, el boom de ChatGPT, o el fin de las cuentas compartidas de Netflix son oportunidades que los piratas, siempre atentos para pescar a usuarios despistados, no dejan pasar.
Y de la mano del verano y los planes de vacaciones, regresa el phishing de la reserva de hotel. Desde ESET España han detectado el envío de correos con algunas variantes respecto de años anteriores. Una de las últimas estrategias consistía en una falsa reserva realizada a través de la plataforma Booking que escondía un código malicioso.
Esta temporada, el engaño se ha modificado y en lugar de utilizar páginas reconocidas de búsqueda de hospedajes, los delincuentes proporcionan el nombre de un hotel y un archivo adjunto con la supuesta confirmación de la reserva. Este método fue observado también durante las vacaciones de Semana Santa de este año.
La urgencia como anzuelo
Es común que las campañas de phishing apelen a promociones de último momento, que finalizan en horas o en minutos, para presionar a la víctima a actuar con velocidad y sin pensar demasiado.
También apelan al miedo, como en este caso, que la estrategia se aplica a una fecha de reserva próxima junto a un valor elevado de dinero y la invitación a conocer los detalles en el archivo adjunto, explica Josep Albors, director de investigación y concienciación de ESET España. La curiosidad hará que muchos abran automáticamente el fichero sin evaluar la posibilidad de que sea falso.
El correo sugiere abrir “el archivo PDF”. La reserva no nos suena, no queremos que nos carguen un gasto que no solicitamos, estamos apurados y para quitarnos la duda, pinchamos y abrimos.
Pero si observamos con detenimiento, veremos que el nombre del archivo adjunto posee la inscripción .PDF, y a continuación indica HTML. Es decir, estamos ante un archivo que se desplegará en nuestro navegador web cuando lo abramos.
Entonces aparecerá la imagen de un documento difuminado en el que, de todos modos, puede reconocerse el logo de la empresa Booking. Sobre la vista previa de ese documento se muestra una ventana donde se solicita la contraseña de la cuenta de correo a la que se ha enviado este mensaje, lo que ya nos indica cuál es la finalidad de los delincuentes detrás de esta campaña, advierte Albors.
Desde ESET han detectado que este engaño se está utilizando para robar credenciales tanto de usuarios particulares como de cuentas corporativas. Así, en el caso de los primeros, los delincuentes acceden a información personal con datos importantes, que puede derivar en el ingreso a la cuenta bancaria, por ejemplo. Y en las cuentas empresariales puede implicar posteriores ataques, posiblemente de mayor magnitud, que podrían comprometer información confidencial de la organización que impidiese la continuidad del negocio.
Albors recomienda entonces, estar atentos y sospechar de los correos no solicitados, además de incorporar soluciones de seguridad que identifiquen y eliminen el spam antes de que podamos caer en su trampa. Porque, aunque ya no sean tan frecuentes como hace años, las campañas de phishing siguen siendo una técnica muy utilizada por los delincuentes y mantiene un relativo éxito.