Regresa el phishing de la reserva de hotel justo a tiempo para el inicio de las vacaciones

El verano ya llegó y, con él, las ansiadas vacaciones para muchos españoles que estaban esperando estas fechas con ansia. Sin embargo, no debemos bajar la guardia ante las ciberamenazas que preparan los delincuentes también en época estival, amenazas que vienen tematizadas de acorde a la época del año en la que nos encontramos y que buscan conseguir nuevas víctimas entre usuarios despistados.

La falsa reserva de hotel

Entre los múltiples correos de phishing que se detectan durante el periodo vacacional, hay uno que se ha puesto de moda durante los últimos años y que aprovecha cualquier periodo de vacaciones para hacer de las suyas. El año pasado comprobamos que los delincuentes utilizaban una falsa reserva realizada a través de la conocida plataforma Booking para tratar de colarnos un código malicioso.

Un mes antes de las vacaciones de Semana Santa del presente año, ya vimos cómo nos trataban de engañar con un nuevo caso de reserva falsa, aunque esta vez se proporcionaba el nombre del hotel. Adjunto al mensaje venía un fichero con la supuesta confirmación de la reserva, una táctica que hemos vuelto a ver en un correo recibido esta misma mañana.

Los delincuentes tratan de asustar a los receptores de estos correos usando una fecha próxima de la reserva y una cantidad elevada de dinero. De esta forma, muchos correrán a abrir el fichero adjunto sin pararse a preguntarse si podrían estar frente a un engaño.

Una reserva que no es lo que parece

Una vez los delincuentes consiguen captar la atención de quien recibe este correo, es probable que bastantes usuarios procedan a abrir el fichero adjunto que, supuestamente, contiene la información de esta reserva que no nos suena de nada. Si revisamos el fichero veremos que, a pesar de que los delincuentes han introducido la extensión PDF, en realidad estamos ante un archivo HTML que procederá a abrirse en nuestro navegador cuando pulsemos sobre él.

Así pues, lo que verá el usuario que trate de abrir este fichero es un documento difuminado donde se logra vislumbrar el logo de la empresa de reservas Booking. Encima de ese documento se muestra una ventana donde se solicita la contraseña de la cuenta de correo a la que se ha enviado este mensaje, lo que ya nos indica cuál es la finalidad de los delincuentes detrás de esta campaña.

A pesar de que podríamos pensar que este tipo de correos están pensados para robar credenciales de usuarios particulares, lo cierto es que hemos detectado esta campaña también en cuentas corporativas. De esta forma, los delincuentes obtienen no solo acceso a cuentas de correos personales que pueden contener datos importantes, sino también acceso a cuentas corporativas que pueden usar en ataques posteriores y que podrían llegar a comprometer información confidencial de la empresa que impidiese la continuidad del negocio.

Conclusión

Aunque ya no sean tan habituales como hace años, las campañas de correos estacionales siguen siendo usadas por los delincuentes con relativo éxito. Sabiendo esto, es importante estar prevenido y sospechar de mensajes no solicitados, además de contar con soluciones de seguridad que identifiquen y eliminen el spam antes de que podamos caer en su trampa.

Josep Albors

Resumen de algunas de las ciberamenazas más destacadas del mes de junio