RSC

Alerta turismo por ciberataques

Por Juan Royo Abenia016
El sector turístico supera los 2.200 ciberataques semanales

El turismo enciende la alerta ante los ciberataques que ponen en riesgo la sostenibilidad del sector: 2.291 a la semana por organización

El sector de la hostelería y los viajes registra una media de 2.291 ciberataques semanales por organización, duplicando el volumen registrado hace tres años.

Solo en mayo de 2026 se registraron 50.000 nuevos dominios relacionados con viajes. Uno de cada 112 ya es una amenaza activa.

Los atacantes suplantan con ofertas gancho irresistiblemente baratas a gigantes como

  • Booking.com
  • Airbnb
  • Skyscanner

El turismo procesa millones de datos financieros y personales justo cuando los usuarios están más distraídos, apurados por reservar y ansiosos por conseguir una buena oferta

“patrón claro de industrialización del fraude digital en el sector turístico.

Los atacantes no improvisan:

diseñan campañas estacionales con la misma planificación que cualquier gran empresa del sector,

aprovechando los picos de demanda

y la presión por reservar rápido”

Rafa López, Workspace, Check Point Software

De los 1.032 ataques semanales en mayo de 2023 a los 2.291 actuales.

Despliegue logístico de los atacantes en verano.

En mayo hubo 47.318 nuevas páginas web vinculadas al sector turístico, un 33 % más que en abril y un 19 % que en mayo de 2025. Además, uno de cada 112 de estos dominios se ha catalogado como malicioso o bajo sospecha, mientras que una gran parte permanece inactiva, en una especie de “hibernación”, preparada para atacar cuando lleguen las semanas de mayor demanda vacacional.

Estrategia detrás de tres grandes campañas coordinadas de registro masivo de dominios:

  1. fraude de Booking.com:
    1. bookingni punto com captura datos de inicio de sesión y tarjetas
    2. versiones localizadas para el público de habla china con precios en yuanes y falsos carteles de rebajas de mitad de año: booking-cn punto com y booking-hk punto com
    3. Este mismo actor opera también booking-jp punto com y booking-zh punto com.
  2. trampa de Airbnb: el dominio airbnb-ca punto com se dirige específicamente a los viajeros que planean visitar Canadá. Muestran fotos de las Rocosas Canadienses y listados falsos de alojamientos en Montreal, Toronto y Vancouver.
  3. ganchos de Skyscanner: páginas como skyscanners punto shop y skyscanners punto life: ofertas de hoteles inexistentes con tarifas de preventa en complejos turísticos de Malasia para recaudar depósitos que nunca se convierten en reservas reales.

Las redes de fraude planifican el verano con la misma antelación que las empresas turísticas legítimas. Su estrategia favorita es la manipulación: juegan con la urgencia por reservar y la obsesión por encontrar el precio más bajo para que el usuario baje la guardia y haga clic donde no debe.

Consejos
  1. Escribir, no hacer clic: introducir siempre la URL directamente en la barra de direcciones del navegador en lugar de hacer clic en enlaces procedentes de correos electrónicos o anuncios.
  2. Prestar atención al dominio: revisar minuciosamente la dirección web antes de introducir datos de acceso o de pago. Una sola letra puede marcar la diferencia y confundir al usuario.
  3. Pagar con tarjeta de crédito: utilizar tarjetas de crédito en lugar de débito para las reservas online, ya que ofrecen mayores coberturas contra el fraude y sistemas de disputa de cargos más ágiles.
  4. Doble protección: autenticación de doble factor (2FA) en todas las cuentas de plataformas de viaje frecuentes.
  5. Desconfiar de los milagros: si un hotel o vuelo es sospechosamente barato o el sitio genera una urgencia inusual, la oferta suele estar manipulada.
Foto de cottonbro studio

Related posts

4 millones de litros de agua menos consumirá Mango para hacer sus vaqueros

Juan Royo Abenia

Digitalizar la banca

Miguel Royo Gasca

¿El mejor banco para trabajar en España?

Marta Gasca Gómez