Un experto alerta sobre la nueva estafa del verano: "Usan la IA y datos reales de reservas de hoteles para engañarte"

Una persona entrando en una habitación de hotel. PIxabay

Antoni Mateu 22 MAY 2026 - 06:00h.

Las suplantaciones de identidad en internet ahora son mucho más realistas debido a tecnologías como la inteligencia artificial, que permite personalizar los mensajes al instante
Los fraudes en internet son más sofisticados que nunca: "Ahora tú te estafas a ti mismo"

Queremos ir de vacaciones, reservamos un hotel y nos damos cuenta de que es una estafa. O lo que antes era abrir un enlace sospechoso que nos llegaba por SMS -y resultaba ser una estafa- ahora es un correo de reserva del sitio al que queremos ir. Y nos roban información sin que lo sepamos. Esta es la sofisticación de las suplantaciones de identidad en internet. Se conoce como Reservation Hijack Scam y está en auge.

"Los ciberdelincuentes ya no envían mensajes genéricos. Sino que son cada vez más personalizados y, por lo tanto, más difíciles de detectar. Utilizan información real de reservas para hacer que la estafa parezca completamente legítima": así lo explica el experto Luis Corrons, quién es Security Evangelist de Gen, compañía detrás de reconocidos antivirus como Norton o Avast. Sin embargo, esto es la punta del iceberg de todo un proceso mucho más sofisticado.

PUEDE INTERESARTE

Una víctima de estafa vacacional alerta: “Me quedé sin vacaciones y sin 400 euros”

Cómo hackean a los hoteles y los datos personales

Para que se puedan obtener datos reales de sitios webs de reserva -y estafarnos con ellos- antes se han de extraer. Algo que Corrons ilustra como la primera parte de la 'cadena de montaje': "Los atacantes comprometen primero cuentas de hoteles o empleados del sector turístico. Una vez dentro, acceden a sistemas de reservas, plataformas de gestión hotelera o conversaciones reales entre clientes y alojamientos. También pueden aprovechar filtraciones de datos previas, credenciales robadas o accesos vendidos en foros criminales. A partir de ahí, utilizan información auténtica para construir mensajes hiperpersonalizados".

La inteligencia artificial entra en juego cuando se trata de dar forma a la verosimilitud del mensaje que nos llega: "permite automatizar mensajes convincentes, sin errores y adaptados al idioma o contexto de cada víctima".

PUEDE INTERESARTE

Las estafas y fraudes más comunes al alquilar una vivienda para las vacaciones: ojo al chollo y al propietario ausente

Buscar pisos para ir a la playa este verano se vuelve imposible: las reservas ya están al 80% y los precios no paran de subir

El contexto: la clave para caer en la trampa

Se hackea el hotel, se extraen los datos y con IA se crea el mensaje que nos llegará después. Una vez estamos dentro de la red, se nos pide realizar acciones. Corrons explica que uno de los reclamos más habituales es "hacernos creer que hay un problema con el pago de nuestra reserva".

Sin embargo, es la verosimilitud del contexto la que nos hace caer en esta trampa, de acuerdo con el experto: "El mensaje suele incluir datos reales como el nombre del hotel, fechas del viaje o importe de la estancia, lo que reduce muchísimo la desconfianza. Cuando se hace clic, se termina en una página falsa que imita perfectamente la estética de plataformas y de alojamiento y hoteles. La persona introduce sus datos bancarios creyendo que está solucionando una incidencia legítima, pero en realidad cae en la trampa".

"Puedes reservar en un sitio legítimo y que te estafen igual"

Los canales por los cuales recibimos estos mensajes, indica Corrons, son "especialmente los correos electrónicos, SMS, WhatsApp y chats internos de plataformas de reserva".

Además, recalca que "uno de los aspectos más peligrosos es que algunos mensajes llegan desde canales aparentemente legítimos porque los atacantes han comprometido previamente cuentas reales de hoteles o agencias".

A lo que suma otro elemento importante, que se puede "haber reservado en una plataforma completamente legítima y aun así convertirte en víctima si posteriormente interactúas con un mensaje fraudulento".

Así nos podemos proteger de este tipo de estafas

Lo primero que el experto pone encima de la mesa: "nunca acceder a enlaces que recibimos por mensajes" y, en el caso de recibir una alerta de este tipo, "acceder manualmente en la app o web oficial y verificar la información desde ahí".

También aboga por "fijarse en la URL exacta" de la página web a la que entramos. "Las páginas falsas suelen copiar perfectamente el diseño pero los dominios web pueden estar ligeramente alterados".

Además de lo que podemos hacer como usuarios, Corrons también señala que las empresas tienen responsabilidad para protegerse de este tipo de ataques: desde reforzar la seguridad interna mediante controles de acceso reforzados hasta la formación a los empleados en materia de ciberseguridad.

"Muchos ataques comienzan con un simple correo de phishing dirigido a recepción o atención al cliente. Por eso, la concienciación del personal es tan importante como la tecnología", concluye.

Temas