AltoDirectivo

Según los últimos datos de Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (proveedor líder en soluciones de ciberseguridad), las agresiones digitales dirigidas a esta industria han aumentado un 122% en los últimos tres años.

Se trata de una ofensiva completamente deliberada y estacional. Los atacantes han puesto el foco en un sector que procesa millones de datos financieros y personales, aprovechando estratégicamente los momentos en los que los usuarios están más distraídos, apurados por cerrar sus reservas y ansiosos por encontrar ofertas competitivas.

"Observamos un patrón claro de industrialización del fraude digital en el sector turístico. Los atacantes no improvisan: diseñan campañas estacionales con la misma planificación que cualquier gran empresa del sector, aprovechando los picos de demanda y la presión por reservar rápido", afirma Rafa López, Workspace Security Engineer de Check Point Software en España.

Radiografía de la amenaza: un crecimiento desproporcionado

El impacto en la industria turística muestra un comportamiento sumamente agresivo si se compara con la tendencia macroeconómica global de la ciberseguridad. Los datos recogidos en mayo de 2026 reflejan una brecha preocupante:

Volumen de ataques: Las organizaciones del sector sufrieron una media de 2.291 ciberataques semanales durante el pasado mes de mayo.

Crecimiento interanual anómalo: Esta cifra representa un incremento del 24% en comparación con el mismo mes del año anterior. Un dato alarmante frente al tímido incremento interanual global del 2% registrado en el resto de los sectores económicos.

Tendencia a largo plazo: La gravedad de la situación se consolida al observar la evolución cronológica: se ha pasado de los 1.032 ataques semanales registrados en mayo de 2023 a los 2.291 actuales.

El despliegue logístico: webs en fase de "hibernación"

La maquinaria que hay detrás de estas redes delictivas planifica la campaña de verano con la misma antelación que las agencias y turoperadores legítimos. Durante el mes de mayo, se detectó el registro de 47.318 nuevas páginas web vinculadas al sector turístico, un volumen que supera en un 33% los registros de abril y en un 19% los del mismo periodo del año anterior.

El peligro radica en su estrategia de despliegue: uno de cada 112 de estos dominios ya ha sido catalogado como malicioso o bajo sospecha. Sin embargo, una gran parte de ellos permanece inactiva, en una suerte de "hibernación", listos para activarse y atacar justo cuando lleguen las semanas de mayor demanda vacacional.

Las tres grandes campañas desmanteladas

Check Point Research ha desarticulado la estrategia de tres campañas coordinadas de registro masivo de dominios que suplantaban a marcas líderes del mercado:

1. El fraude de Booking.com

Los analistas detectaron el dominio clon bookingni[.]com, diseñado específicamente para capturar credenciales de inicio de sesión y datos de tarjetas de crédito. Además, la campaña incluía los dominios booking-cn[.]com y booking-hk[.]com, que ofrecían versiones localizadas para usuarios de habla china con precios en yuanes y falsos anuncios de rebajas de mitad de año. Este mismo actor delictivo opera también los sitios booking-jp[.]com y booking-zh[.]com.

2. La trampa de Airbnb

A través del dominio falso airbnb-ca[.]com, los atacantes apuntaban a los viajeros con planes de visitar Canadá. Para hacer el fraude creíble, mostraban fotografías reales de las Rocosas Canadienses y listados falsos de alojamientos en ciudades de alta demanda como Montreal, Toronto y Vancouver.

3. Los ganchos de Skyscanner

Páginas fraudulentas bajo los nombres skyscanners[.]shop y skyscanners[.]life promocionan ofertas inexistentes con tarifas de preventa en complejos turísticos de Malasia. ¿Su objetivo? Recaudar depósitos económicos que nunca llegan a convertirse en reservas reales.

Guía de protección: cómo evitar caer en la red del fraude

Dado que la estrategia principal de los ciberdelincuentes se basa en la manipulación emocional —jugando con la urgencia y la obsesión por encontrar el precio más bajo—, desde Check Point Research recomiendan adoptar cinco pautas fundamentales para que los usuarios no bajen la guardia:

Escribir, no hacer clic: Es vital introducir siempre la URL directamente en la barra de direcciones del navegador, evitando pinchar en enlaces que provengan de correos electrónicos o de anuncios publicitarios.

Prestar atención al dominio: Se debe revisar minuciosamente la dirección web antes de introducir datos de acceso o de pago. La variación de una sola letra es el recurso más utilizado para confundir al usuario.

Pagar con tarjeta de crédito: Para las transacciones online son preferibles las tarjetas de crédito frente a las de débito, ya que las primeras ofrecen mayores coberturas contra el fraude y sistemas de disputa de cargos mucho más ágiles.

Doble protección: Es aconsejable activar la autenticación de doble factor (2FA) en todas las cuentas de las plataformas de viaje que se utilicen de manera frecuente.

Desconfiar de los milagros: Si un hotel o un vuelo presenta un precio sospechosamente barato o el sitio web genera una sensación de urgencia inusual para cerrar la transacción, la oferta suele estar manipulada.

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

Alto Directivo