En plena temporada de vacaciones, cuando muchos usuarios en España y el resto de Europa cierran reservas de hoteles y apartamentos a través de plataformas online, investigadores de seguridad han detectado una oleada de estafas que suplantan a Booking.com y usan la técnica ClickFix para infectar ordenadores con malware. El gancho son correos electrónicos que hablan de supuestos problemas con reservas o reembolsos pendientes para empujar al usuario a actuar con prisas.
Detrás de estos mensajes se esconde una campaña sofisticada de ingeniería social que no ataca directamente al software, sino al propio comportamiento de la víctima. El objetivo es que sea el usuario quien desactive las defensas del sistema y ejecute comandos maliciosos, facilitando la instalación de troyanos de acceso remoto e infostealers capaces de robar información sensible y tomar el control del equipo.
Cómo funciona la estafa que suplanta a Booking.com
Según los análisis difundidos por equipos como Securonix y reflejados en los informes de amenazas de ESET, los delincuentes envían correos falsos que copian con gran precisión el diseño, el logotipo y el estilo de comunicación de Booking.com. El asunto suele hacer referencia a incidencias con una reserva, cargos no reconocidos o reembolsos que supuestamente están pendientes de confirmación.
Estos mensajes incluyen enlaces que aparentan dirigir a la web de la plataforma de reservas, pero que en realidad redirigen a sitios creados por los atacantes que imitan la página legítima. Para un usuario medio, especialmente si está revisando el correo desde el móvil o con prisas, detectar la trampa puede resultar complicado.
Una vez en la web falsa, el navegador muestra un aviso indicando que la carga de la página está tardando más de lo normal. Se ofrece un botón para recargar, lo que parece una incidencia técnica menor y creíble, sobre todo si el usuario ya viene predispuesto por el mensaje sobre su reserva.
Al pulsar ese botón, el navegador pasa a modo de pantalla completa y aparece una supuesta pantalla azul de error de Windows (BSOD) que simula un fallo crítico del sistema operativo. Esta escena es clave en la técnica ClickFix, ya que busca generar alarma y la sensación de que algo grave acaba de ocurrir en el equipo.
La técnica ClickFix: cuando el usuario ejecuta el ataque
La diferencia fundamental respecto a un fallo real de Windows es que esta pantalla azul es completamente falsa y forma parte del engaño. No bloquea el sistema, sino que muestra un texto muy detallado con los pasos que, supuestamente, hay que seguir para resolver el error.
Entre esas instrucciones se indica al usuario que abra PowerShell o la ventana «Ejecutar» de Windows e introduzca una serie de comandos. Todo se presenta como una guía oficial para reparar el problema, con un lenguaje técnico que refuerza la apariencia de legitimidad. En ese punto, la víctima cree estar siguiendo un procedimiento de soporte, cuando en realidad está lanzando el ataque contra su propio equipo.
Este enfoque encaja de lleno con la filosofía de la técnica ClickFix: en lugar de aprovechar una vulnerabilidad del sistema, se persuade al usuario para que ejecute por sí mismo el código malicioso. No hay un exploit complejo ni un fallo de seguridad concreto; el eslabón débil es el factor humano.
Los datos del último ESET Threat Report muestran la magnitud del problema: solo en el primer trimestre de 2025 las detecciones asociadas a ClickFix crecieron más de un 500 %, hasta situarse como el segundo vector de ataque más utilizado, por detrás del phishing clásico. Este crecimiento apunta a que los grupos criminales están encontrando en este método una vía muy rentable y difícil de frenar si no se refuerza la concienciación de los usuarios.
Expertos en seguridad subrayan que los delincuentes ya no necesitan “romper” el sistema operativo para entrar; les basta con convencer al propietario de que desactive las defensas y ejecute lo que ellos quieren. Esta tendencia, muy presente también en campañas que afectan a usuarios europeos, obliga a replantear las estrategias de protección, dando más peso a la formación y a la detección de comportamientos sospechosos.
Qué ocurre tras seguir las instrucciones de la falsa pantalla azul
Cuando la víctima introduce los comandos indicados en la pantalla fraudulenta, se pone en marcha una cadena de acciones ocultas. En primer lugar, se descarga un proyecto desarrollado en .NET que, a simple vista, puede pasar como un fichero legítimo si alguna herramienta de seguridad llega a mostrarlo.
A continuación entra en juego MSBuild.exe, una utilidad oficial de Microsoft utilizada para compilar proyectos .NET. Los atacantes se apoyan en esta herramienta para transformar ese proyecto descargado en un ejecutable funcional dentro del propio sistema, aprovechando que se trata de un componente legítimo y habitual en entornos Windows.
Una vez compilado, el código despliega un troyano de acceso remoto, identificado como DCRAT, que se instala en el equipo de la víctima. Este tipo de malware permite al atacante conectarse desde fuera, manejar el ordenador casi como si estuviera sentado delante de él y ejecutar nuevas órdenes en cualquier momento.
Entre las capacidades observadas en esta campaña se encuentran el registro de pulsaciones de teclado, la ejecución remota de comandos, la toma de capturas de pantalla y la descarga de cargas adicionales, como mineros de criptomonedas u otras piezas de malware orientadas al robo de credenciales bancarias, accesos a cuentas online o información corporativa.
El proceso malicioso también incluye la desactivación o el intento de interferir con herramientas de seguridad integradas en Windows, como Windows Defender, además de técnicas para conseguir persistencia y elevar privilegios dentro del sistema operativo. Todo ello hace que la intrusión sea más duradera y difícil de erradicar sin una limpieza profunda.
Al apoyarse en utilidades legítimas del sistema y en la intervención directa del usuario, esta campaña resulta especialmente complicada de detectar en sus fases iniciales, tanto para los propios afectados como para algunas soluciones de seguridad que dependen de patrones de comportamiento clásicos. Por eso las empresas de ciberseguridad insisten en que el eslabón clave para frenar estas estafas es la prevención.
Impacto y riesgo para usuarios en España y Europa
Aunque los primeros avisos proceden de análisis globales, este tipo de campañas tienen un impacto directo en usuarios europeos que utilizan Booking.com para reservar alojamientos, especialmente durante los periodos de mayor actividad turística. España, por volumen de reservas y popularidad de la plataforma, se sitúa entre los países donde este tipo de correos falsos pueden tener más tirón.
Los mensajes que imitan a Booking.com aprovechan que muchos viajeros están pendientes de confirmaciones, cambios de última hora o posibles reembolsos. En ese contexto, recibir un correo que habla de un problema con la reserva puede pasar fácilmente por algo normal, lo que reduce la probabilidad de que el usuario se pare a revisar con calma el remitente, la dirección web de destino o pequeños detalles de formato.
Para empresas del sector turístico, hoteles independientes, agencias y apartamentos turísticos en España, un incidente de este tipo no solo supone un riesgo para sus clientes, sino también un golpe de reputación si los usuarios asocian la estafa directamente con la marca legítima. Aunque la campaña no compromete los sistemas de Booking.com, la suplantación puede generar confusión y desconfianza.
A nivel legal y regulatorio, el uso de técnicas de ingeniería social para instalar malware y robar datos personales vulnera de lleno la normativa europea de protección de datos (RGPD). Las víctimas pueden ver expuesta información sensible que posteriormente se utilice para nuevas estafas, suplantaciones de identidad o accesos no autorizados a servicios financieros.
Las autoridades de ciberseguridad y los equipos de respuesta a incidentes de distintos países europeos vienen alertando de que las campañas de phishing y estafas relacionadas con reservas online aumentan significativamente en periodos vacacionales. La suplantación de plataformas conocidas como Booking.com, combinada con técnicas avanzadas como ClickFix, se ha convertido en un cóctel especialmente peligroso para usuarios particulares y pequeñas empresas.
Consejos prácticos para no caer en la trampa
Los especialistas coinciden en que la primera línea de defensa pasa por desconfiar de cualquier correo que mezcle urgencia, problemas con reservas y enlaces externos. Si llega un mensaje que asegura que hay un error con una reserva de Booking.com, lo más prudente es no pulsar en los enlaces y acceder directamente a la cuenta desde el navegador, tecleando la dirección oficial.
También es fundamental revisar con detalle la dirección del remitente y el dominio al que apuntan los enlaces. Muchas veces, los atacantes utilizan nombres muy parecidos a los originales, con pequeñas variaciones en letras o extensiones, que pueden pasar desapercibidas en una lectura rápida. Un correo legítimo de la plataforma no debería pedir nunca que el usuario ejecute comandos ni realice acciones técnicas complejas.
Ante cualquier pantalla de error que aparezca dentro del navegador, en especial si se presenta como una supuesta pantalla azul de Windows que incluye instrucciones para escribir comandos, la recomendación es cerrar la ventana y reiniciar el navegador. Las pantallas azules reales del sistema operativo no se muestran como una pestaña web ni piden al usuario que copie y pegue comandos desde un texto.
En entornos corporativos, hoteles y empresas turísticas, resulta clave formar al personal para que identifique correos y webs sospechosas, ya que suelen gestionar un gran volumen de comunicaciones con clientes y proveedores. La presión del día a día puede hacer que se abran enlaces sin la debida revisión si no existe una cultura de seguridad bien asentada.
Por último, los expertos recomiendan contar con soluciones de seguridad actualizadas capaces de detectar el abuso de herramientas legítimas como PowerShell o MSBuild.exe y bloquear descargas no autorizadas. Estas capas técnicas, combinadas con una actitud más crítica frente a mensajes urgentes, reducen considerablemente el margen de maniobra de quienes explotan la técnica ClickFix.
Todo apunta a que este tipo de estafas, que combinan la suplantación de servicios tan populares como Booking.com con tácticas de ingeniería social avanzadas, seguirán ganando terreno en los próximos meses. Mantener la calma ante los correos que anuncian problemas con reservas, comprobar siempre la autenticidad de los mensajes y negarse a ejecutar comandos sugeridos por pantallas extrañas se han convertido en hábitos esenciales para proteger tanto los dispositivos como los datos personales.