A principios de este año, la organización de consumidores Which? publicó un informe exhaustivo que ha destapado numerosas estafas y fallos de seguridad en el portal de viaje.
En un viaje reciente, reservé un hotel cerca de un aeropuerto para una escala en Yakarta. Usé el portal Booking.com y elegí la opción de cobro automático con tarjeta unos días antes de la estancia. Una semana antes del viaje, recibí un mensaje de WhatsApp que decía ser del hotel del aeropuerto de Yakarta. Tenía una foto de perfil que parecía de un empleado y el mensaje incluía mi nombre completo, el número de reserva y las fechas de mi estancia.
El mensaje explicaba que, para mantener mi reserva segura, debía verificar algunos datos. Me pedía hacer clic en un enlace donde me solicitarían verificar temporalmente mi método de pago, sin cargos. El mensaje me advertía de que, si no completaba el proceso en 24 horas, el sistema podría cancelar automáticamente mi reserva.
Últimamente han empezado a aparecer avisos en la web de Booking que instan a los usuarios a estar atentos al phishing y a la suplantación por correo electrónico. Por suerte, había tomado nota de estas advertencias y conocía las señales: pedir que hagas clic en enlaces e imponer un plazo corto de tiempo son señales sospechosas de manual.
Seguí las pautas de Booking y denuncié el mensaje sospechoso. Al día siguiente me llamaron para confirmar que no lo había enviado el hotel y que debía eliminarlo. Me tranquilizó de cara a mi próxima estancia, sin embargo, me inquietó la cantidad de información personal que el estafador había logrado obtener sobre mi reserva.
A comienzos de este año, el organismo de defensa del consumidor 'Which?' publicó un informe exhaustivo que destapaba múltiples estafas y fallos de seguridad en Booking. Parecía que mi mensaje de phishing era solo la punta de un iceberg muy preocupante.
El auge de los anuncios fraudulentos en Booking
Booking.com es un gigante internacional con más de mil millones de reservas al año, que compite con Airbnb por liderar las plataformas de reserva de alojamientos vacacionales. La investigación de 'Which?' concluyó que parte de su atractivo se debe a lo fácil que resulta para empresas y propietarios anunciar sus alojamientos.
La asociación probó dicho proceso y pudo publicar una casa de vacaciones en menos de 15 minutos. "No tuvimos que aportar pruebas de quiénes éramos. Y, a diferencia de cuando pones tu vivienda en Vrbo de Expedia, o en Airbnb la última vez que lo intentamos, nadie pidió ver un carné de conducir o un pasaporte", escribe el investigador sénior Trevor Baker. Aunque esto puede alimentar el éxito de Booking, también facilita el fraude en la plataforma.
Una investigación de 2024 de 'Which?' halló que cientos de personas, en el transcurso de unos pocos meses, denunciaron haber perdido dinero por anuncios fraudulentos. Booking eliminó los señalados por 'Which?' y afirmó que se trataba simplemente de propietarios que habían "olvidado desactivar la disponibilidad cuando el alojamiento había cerrado o estaba temporalmente inactivo".
Pero cuando los investigadores volvieron a comprobarlo unos meses después, encontraron más alojamientos con cientos de reseñas negativas que advertían de que el alojamiento era una estafa. Algunos viajeros relataron que llegaron al lugar y descubrieron que no existía, y tuvieron que buscar a la desesperada un alojamiento alternativo. Muchos después tuvieron problemas para conseguir un reembolso de Booking.
Los anuncios fraudulentos sobreviven ocultando las malas reseñas
La plataforma de alojamientos declaró ante 'Which?' que limita a los nuevos anfitriones antes de que puedan aceptar reservas con pago para filtrar los anuncios fraudulentos. "Es cierto que no podíamos aceptar prepago para el anuncio que creamos, primero necesitaríamos tener algunas reservas y reseñas. Pero eso no es insalvable para un estafador", escribe Baker.
Si un anuncio fraudulento consigue colarse sin ser detectado, a menudo sigue engañando a los huéspedes por el sistema de reseñas de Booking. "Si haces clic en un apartamento turístico en el centro de Podgorica, Montenegro, te tranquilizaría su calificación de 6,4, que Booking.com resume como agradable", dice Baker.
"Las dos primeras reseñas lo califican como excelente (nueve sobre diez) y bueno (siete sobre diez). Sin embargo, necesitas buen ojo para advertir que Booking.com te muestra las reseñas que, de forma inexplicable, ha decidido que son las más relevantes". En cambio, si cambias la configuración para ver las más recientes, verás que, en ese alojamiento, diez de los últimos 12 usuarios lo describen como un timo, una estafa y una pesadilla.
Tras las presiones de 'Which?', el año pasado, la plataforma de alojamientos dijo que iba a cambiar su sistema para dar más protagonismo a las reseñas recientes. Pero, por ahora, las reseñas siguen mostrando por defecto las más relevantes.
Mensajes de phishing que piden confirmar reservas
Y luego está lo que me ocurrió a mí. Otros viajeros también han denunciado haber recibido correos electrónicos, mensajes de WhatsApp o incluso mensajes en el propio sistema de Booking.com pidiendo confirmar una reserva. Algunos de esos mensajes piden hacer clic en un enlace para verificar datos, mientras que otros directamente solicitan pagos.
La mayoría imponen un plazo, de modo que, aunque contactes con Booking.com sobre el mensaje, puede que no recibas respuesta antes de la fecha límite y te sientas obligado a pagar. Que los estafadores hayan podido utilizar los canales oficiales de comunicación de Booking es especialmente preocupante.
"Cuando investigamos fraudes en Airbnb en 2017, nos sentimos seguros al decir a la gente que estaría a salvo siempre que solo se comunicara dentro del sistema de mensajería de Airbnb", escribe Baker. "No es el caso de Booking.com. Si sus hoteles y anfitriones han sido pirateados, puede ser muy difícil saber si el mensaje que recibes es realmente del hotel o de un estafador."
Booking.com recurre a la IA para frenar a los estafadores
Durante la investigación, 'Which?' recibió informes de usuarios que habían perdido cientos de euros. Para algunos, viajes enteros quedaron arruinados. Muchos solo recibieron reembolsos después de que 'Which?' intercediera en su nombre. Entonces, ¿cómo está trabajando Booking para mejorar la seguridad de los usuarios? Pues recurriendo a la inteligencia artificial.
"Seguimos haciendo inversiones significativas y aprovechando las últimas técnicas de IA y aprendizaje automático para identificar y bloquear la actividad sospechosa lo antes posible", afirma un portavoz a 'Euronews Travel'. "Esta tecnología nos permite analizar patrones de tráfico, detectar anomalías y bloquear la actividad sospechosa antes de que llegue a nuestros clientes".
Algunos propietarios también han señalado que la plataforma reforzó la seguridad para hoteles y anfitriones el año pasado. Ahora deben usar un proceso en dos pasos, conocido como autenticación de dos factores (2FA), para acceder a sus cuentas y mensajes, lo que debería dificultar mucho más a los estafadores el pirateo de cuentas.
Los huéspedes también pueden activar la 2FA, pero los usuarios han informado de problemas con ella. Sin embargo, según 'Which?', aún queda mucho por hacer. "El hecho de que Booking.com no bloquee enlaces maliciosos, no retire anuncios de estafa y, hasta hace poco, no exigiera la 2FA a los anfitriones, sugiere una cierta desidia hacia la seguridad de los usuarios", señala el informe.
"Y su decisión de mostrar las supuestamente más relevantes en lugar de las más recientes fue desconcertante. Aceptamos que ahora es más seguro que el año pasado, pero, a nuestro juicio, ha reaccionado con demasiada lentitud ante lo fácil que sus herramientas han sido adoptadas por los estafadores para robar dinero".