Un nuevo y peligroso ataque está poniendo en riesgo al sector hotelero. Microsoft ha advertido sobre una campaña de phishing en curso que se hace pasar por Booking.com, utilizando tácticas de ingeniería social conocidas como ClickFix para distribuir malware. Esta campaña, que comenzó en diciembre de 2024 y sigue activa, tiene como objetivo principal a trabajadores de hoteles, agencias de viajes y otras organizaciones que gestionan reservas a través de la popular plataforma.
Los ciberdelincuentes buscan secuestrar las cuentas de estos trabajadores para robar información confidencial, incluyendo datos de pago y detalles personales de los huéspedes, que luego pueden utilizarse en nuevos ataques. Los expertos en seguridad de Microsoft, quienes detectaron esta campaña, creen que está detrás de todo esto un grupo de ciberdelincuentes conocido como 'Storm-1865'.
En este artículo, te explicaremos cómo funciona este engaño, por qué representa una amenaza tan seria y qué medidas puedes tomar para protegerte.
ClickFix: El engaño que usa Booking.com para robar tus datos
El ataque conocido como ClickFix es una táctica de ingeniería social que ha ido ganando terreno en el mundo del cibercrimen. Lo que hace es mostrar supuestos errores en sitios web o en documentos de phishing, y luego te pide que completes un "captcha de corrección" para poder ver el contenido.
El problema es que ese "captcha" no es lo que parece. En realidad, lo que estás haciendo sin saberlo es ejecutar comandos maliciosos de PowerShell (o similares) que descargan e instalan malware en tu dispositivo. Esto incluye programas que roban información confidencial y troyanos que permiten a los atacantes controlar tu equipo de forma remota, tanto en Windows como en Mac.
Este tipo de ataque se ha vuelto bastante popular entre los ciberdelincuentes, y es utilizado por grupos criminales que van desde bandas de ransomware hasta hackers norcoreanos.
En la campaña que detectó Microsoft, los atacantes se hacen pasar por huéspedes que envían preguntas sobre reseñas negativas en Booking.com, solicitudes de posibles clientes, o incluso alertas falsas de verificación de cuenta, con el fin de engañar a los empleados del sector hotelero.
Correo electrónico enviado a los objetivos (Fuente: Microsoft)
Los correos electrónicos que forman parte de esta estafa suelen llevar un archivo PDF adjunto. Dentro del documento hay un enlace o un botón que, al hacer clic, lleva a la víctima a una página con un CAPTCHA falso.
Este tipo de CAPTCHA se ha vuelto bastante común en las campañas de ClickFix porque crea una falsa sensación de seguridad, haciendo que las personas confíen y bajen la guardia.
El truco está en que, al resolver este supuesto CAPTCHA, se copia automáticamente un comando malicioso (con mshta.exe) en el portapapeles de Windows. Luego, la página instruye a la víctima para que abra el comando "Ejecutar" de Windows, pegue el contenido copiado y lo ejecute, creyendo que es parte del proceso de verificación.
Página captcha maliciosa (Fuente: Microsoft)
Conoce más sobre: Lumma Stealer usa Anuncios y Captcha Falsos para Robar Datos
¿Cómo funciona el ataque ClickFix paso a paso?
Las víctimas solo ven las instrucciones para usar atajos de teclado, pero no el contenido que se ha copiado en el portapapeles. Esto significa que no tienen idea de que están a punto de ejecutar un comando peligroso en su equipo. Por eso, quienes no tienen mucha experiencia con computadoras son los más propensos a caer en la trampa.
Según Microsoft, el código que se copia es un comando que utiliza mshta.exe para ejecutar un archivo HTML malicioso alojado en el servidor del atacante.
Comando malicioso 'mshta' copiado al portapapeles de Windows
Al ejecutar ese comando, se descarga e instala una serie de programas maliciosos diseñados para robar información y permitir el control remoto del equipo. Entre ellos se encuentran amenazas como XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT.
El informe de Microsoft explica que el contenido descargado puede variar según la carga útil, incluyendo scripts de PowerShell, JavaScript o archivos ejecutables (.PE).
Todos estos programas maliciosos están diseñados para robar datos financieros y credenciales, una táctica que se ha convertido en una marca registrada del grupo de amenazas conocido como Storm-1865.
Descripción general del ataque Storm-1865 ClickFix (Fuente: Microsoft)
Para protegerte de este tipo de ataques, te recomendamos seguir algunas buenas prácticas de seguridad:
- Verifica siempre la dirección del remitente. Asegúrate de que el correo realmente provenga de Booking.com y no de una dirección sospechosa.
- Cuidado con los mensajes urgentes. Si un correo te presiona para actuar rápido, tómate un momento para analizarlo con calma; esa sensación de urgencia es una táctica común en las estafas.
- Presta atención a los errores tipográficos. Los correos fraudulentos suelen tener fallos en la redacción que pueden delatarlos.
- No sigas enlaces sospechosos. En lugar de hacer clic en enlaces dentro del correo, accede directamente a Booking.com desde tu navegador para verificar el estado de tu cuenta o revisar posibles alertas pendientes.
Además de estas medidas, es fundamental que las empresas cuenten con una solución de ciberseguridad que incluya protección avanzada para el correo electrónico. Una opción altamente recomendada es TecnetProtect, una solución de ciberseguridad que utiliza inteligencia artificial y tecnologías avanzadas para analizar, identificar y bloquear correos electrónicos maliciosos antes de que lleguen a la bandeja de entrada. Contar con este tipo de protección adicional puede marcar la diferencia entre mantener tus sistemas seguros o convertirte en la próxima víctima de un ciberataque.