Hoteles falsos, estafas con billetes de avión y trampas turísticas con IA son un riesgo cada vez mayor para los viajeros
Las estafas digitales relacionadas con los viajes ya no se limitan a anuncios sospechosos, apartamentos inexistentes y mensajes de correo electrónico mal traducidos. Antes de la nueva temporada estival de viajes, los viajeros de todo el mundo se enfrentan a formas de fraude mucho más convincentes: páginas falsas de hoteles que parecen casi idénticas a las oficiales, anuncios de alojamiento con fotografías que pueden crearse mediante inteligencia artificial, mensajes de phishing que contienen datos reales de la reserva y ofertas de billetes de avión que desaparecen en cuanto se realiza el pago.
Según las advertencias de la Comisión Federal de Comercio de Estados Unidos, conocida por la sigla FTC, las estafas de viajes suelen comenzar con un anuncio, una llamada telefónica, un mensaje o un correo electrónico en el que se ofrecen viajes gratuitos, excepcionalmente baratos o por tiempo limitado. La Comisión advierte de que detrás de tales ofertas puede haber empresas deshonestas o grupos criminales, y la consecuencia para el consumidor puede ser el pago de cargos ocultos, la pérdida de dinero o la revelación de datos personales y financieros. Se destacan especialmente las solicitudes de pago mediante transferencia bancaria, tarjetas regalo, criptomonedas o aplicaciones de transferencia de dinero, porque esos métodos de pago suelen dejar a las víctimas con poca o ninguna posibilidad de recuperar los fondos.
La magnitud del problema también es visible en las estadísticas más amplias de fraude. La FTC publicó que en 2024 los consumidores denunciaron más de 12,5 mil millones de dólares en pérdidas por fraude, un 25 por ciento más que el año anterior. AARP, citando datos de la FTC, señala que en 2025 se registraron más de 64.000 denuncias de estafas relacionadas con viajes, vacaciones y acuerdos de multipropiedad.
Las páginas falsas de hoteles parecen cada vez más profesionales
Una de las formas más extendidas de fraude se refiere a páginas falsas o engañosas de hoteles. Better Business Bureau, una organización estadounidense de protección al consumidor y seguimiento de la credibilidad empresarial, advierte que los viajeros a menudo terminan en una página que parece la página oficial de un hotel o de una agencia de reservas conocida. A esas páginas se llega con frecuencia a través de buscadores, anuncios o enlaces que aparecen en la parte superior de los resultados de búsqueda. Las fotografías pueden ser profesionales, los precios convincentes y el proceso de reserva lo suficientemente familiar como para que el usuario no sospeche que se encuentra en el lugar equivocado.
Según los ejemplos que cita Better Business Bureau, las víctimas, después de introducir los datos de la tarjeta, pueden descubrir que se les ha cobrado un importe superior al mostrado, que se han añadido cargos que no estaban claramente destacados o que el hotel no tiene ningún registro de su reserva. En algunos casos, el usuario cree que está reservando una habitación directamente con el hotel, mientras que en realidad se trata de un tercero que no está claramente presentado o de una página completamente falsa. Ese modelo es especialmente peligroso porque no siempre se basa en un fraude evidente: el usuario puede recibir una confirmación, pero esta puede no ser válida en el hotel real o puede contener condiciones sustancialmente menos favorables de lo esperado.
La inteligencia artificial complica aún más el reconocimiento de anuncios falsos. AARP advierte que las herramientas de IA ayudan a los criminales a clonar páginas legítimas de viajes, crear direcciones y diseños convincentes y producir contenido que ya no revela las señales típicas de fraude. Las fotografías de alojamientos pueden estar generadas por ordenador, las descripciones ser profesionales y las reseñas falsas estar escritas con un estilo que se parece a experiencias reales de viajeros.
El enfoque más seguro, según las recomendaciones de la FTC y Better Business Bureau, es comprobar la dirección de la página, comparar el nombre de dominio con los canales oficiales del hotel, no apresurarse con el pago y, si es posible, contactar directamente con el hotel antes de pagar. Si el alojamiento se encuentra en un resort o complejo, la FTC recomienda llamar a la recepción y confirmar la ubicación, las condiciones de reserva y la existencia del establecimiento. Se necesita especial precaución cuando la página solicita un método de pago inusual, cuando las condiciones de cancelación no pueden obtenerse por escrito o cuando se presiona al usuario con mensajes de que la oferta solo es válida durante unos minutos más.
El robo de reservas utiliza datos reales de los viajeros
Una forma más reciente de fraude que se menciona cada vez más en las alertas de seguridad es el llamado “secuestro de reservas”. En este escenario, el estafador no envía un mensaje general a miles de personas, sino que se dirige a una persona que realmente tiene una reserva de hotel, apartamento, alquiler de coche o vuelo. El mensaje puede contener el nombre, las fechas del viaje, la ubicación, el número de reserva u otros datos que crean la impresión de que procede del proveedor real del servicio. Precisamente esa combinación de información correcta y una solicitud urgente de pago hace que la estafa resulte convincente.
WIRED describió en mayo de 2026 cómo funcionan esas estafas: los criminales utilizan datos de reservas a los que pueden acceder mediante cuentas comprometidas, incidentes de seguridad, redes sociales u otras fuentes, y luego contactan al viajero afirmando que existe un problema con el pago, la confirmación de la tarjeta o el mantenimiento de la reserva. El objetivo es conseguir que la persona ingrese dinero en la cuenta del estafador o introduzca los datos de la tarjeta en una página falsa. Los mensajes a menudo introducen un elemento de urgencia, por ejemplo la afirmación de que la reserva se cancelará si el pago no se realiza inmediatamente.
Una preocupación adicional fue provocada por un incidente de seguridad que Booking.com confirmó en abril de 2026. Según un informe de The Guardian, la plataforma informó a una parte de los usuarios de que partes no autorizadas habían accedido a determinados datos de reservas. La empresa indicó que los datos financieros no habían estado disponibles, pero que entre la información potencialmente expuesta podían estar detalles de la reserva, nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono y mensajes intercambiados con el alojamiento. Booking.com, según el mismo informe, cambió los PIN de las reservas afectadas y notificó a los huéspedes.
Esos datos por sí solos no tienen por qué permitir el robo directo de dinero, pero aumentan considerablemente la credibilidad de intentos posteriores de fraude. Si un mensaje contiene la fecha exacta de llegada y el nombre del establecimiento, el usuario puede creer con más facilidad que se trata de un problema real con la reserva. Booking.com, según lo señalado por WIRED, destacó que no solicita a los usuarios datos de tarjetas de crédito por teléfono, correo electrónico o SMS, y que no pide pagos por transferencia bancaria diferentes de las condiciones indicadas en la reserva. Por eso es clave que todo mensaje sospechoso se verifique exclusivamente a través de la aplicación oficial, la cuenta de usuario o los datos de contacto publicados en las páginas oficiales.
Los ataques a hoteles abren el camino a estafas contra huéspedes
Las estafas de viajes no apuntan solo a los usuarios finales. Microsoft Threat Intelligence publicó que desde diciembre de 2024 estaba siguiendo una campaña de phishing que se hacía pasar falsamente por Booking.com y apuntaba a empleados de hostelería y hotelería. Según Microsoft, la campaña estaba dirigida a personas en organizaciones que probablemente trabajan con la plataforma de reservas, y se registró en varias regiones, incluidas Europa, América del Norte, Oceanía y partes de Asia. El ataque utilizaba una técnica de ingeniería social conocida como ClickFix, en la que se muestra al usuario un error falso o una instrucción para “arreglar” el problema.
Este tipo de ataque es importante para los viajeros porque una cuenta comprometida de un hotel o arrendador puede servir como trampolín para mensajes más convincentes dirigidos a los huéspedes. Cuando un estafador accede a un canal de comunicación real o a datos de reservas, el mensaje ya no parece un spam típico. El huésped puede recibirlo en el contexto de una reserva existente, con detalles que una persona desconocida normalmente no debería saber. Por eso la seguridad de las plataformas de viaje no depende solo de la cautela de los usuarios, sino también de la protección de las cuentas de hoteles, apartamentos, agencias y otros socios.
Para los viajeros, esto significa que ni siquiera un mensaje que aparezca en un contexto de comunicación conocido tiene que ser automáticamente seguro si solicita un pago inusual, una autorización adicional o el traslado a un canal externo. Si el supuesto hotel envía un enlace fuera de la plataforma, solicita un pago a una cuenta privada o afirma que la tarjeta debe “confirmarse de nuevo” en una nueva página, se trata de una señal clara para una verificación adicional. El usuario debería abrir por su cuenta la aplicación o página oficial, sin hacer clic en el enlace del mensaje, y comprobar allí si existe alguna advertencia.
Las estafas con billetes de avión explotan el deseo de un precio más bajo
Las estafas con billetes de avión a menudo se basan en la misma psicología que los anuncios falsos de hoteles: oferta limitada, precio muy bajo y presión para tomar la decisión inmediatamente. La FTC advierte que las ofertas de viaje pueden aparecer a través de anuncios, llamadas, mensajes o correos electrónicos, y que los estafadores pueden prometer servicios gratuitos o considerablemente rebajados. En el contexto de los vuelos, eso puede significar agencias falsas, billetes inexistentes, vales sospechosos, “descuentos especiales” o solicitudes de que el pago se envíe por un método que no es habitual en la venta legal de billetes.
Pueden ser especialmente arriesgadas las ofertas de vuelos chárter y paquetes en los que el usuario no sabe claramente quién es el organizador, quién emite el billete y qué reglas se aplican en caso de cancelación. La FTC aconseja que antes de pagar se comprueben las condiciones, las políticas de cancelación y reembolso y que, para los vuelos chárter públicos, se verifique si están listados ante el Departamento de Transporte estadounidense competente. Aunque esa recomendación se refiere al marco regulatorio estadounidense, la regla general vale globalmente: antes de pagar, el viajero debe saber con quién celebra el contrato, quién responde por el servicio y si existe un canal oficial de reclamación.
Los criminales a menudo apuntan a momentos en que los precios de los vuelos son altos y la demanda grande. En esas circunstancias, los usuarios reaccionan más fácilmente a la promesa de “últimos asientos” o de un “precio exclusivo” válido por poco tiempo. Si se pide al usuario que pague el billete con criptomoneda, tarjeta regalo, transferencia bancaria a una cuenta privada o aplicación de transferencia instantánea de dinero, el riesgo es mucho mayor. La FTC advierte expresamente que esas solicitudes son una señal típica de fraude porque, después del pago, el dinero a menudo no puede rastrearse ni recuperarse.
Para una verificación adicional, es útil comparar el precio con varias fuentes conocidas, comprobar si la agencia está registrada y buscar el nombre de la empresa junto con términos como “scam”, “review” o “complaint”. Si se trata de una página que afirma vender billetes de una aerolínea conocida, debe comprobarse si la reserva puede encontrarse directamente en las páginas del transportista mediante el número oficial de reserva. Una confirmación falsa por correo electrónico no es suficiente; el billete real debe estar visible en el sistema del transportista o en un intermediario verificado.
La IA cambia el aspecto de las estafas, pero no las señales básicas de advertencia
La inteligencia artificial permite a los estafadores crear rápidamente textos, imágenes, anuncios y páginas que parecen más profesionales que antes. Eso no significa que toda estafa sea imposible de reconocer, pero sí que las señales antiguas, como los errores gramaticales y el mal diseño, ya no son suficientes. AARP señala que las herramientas de IA ayudan a los criminales a clonar páginas legítimas de viajes, mientras que el informe de Microsoft muestra cómo campañas sofisticadas de phishing pueden adaptarse al contexto empresarial y a empleados específicos. Hoy los estafadores pueden combinar automatización, datos robados y contenido convincente en un ataque que parece personalizado.
Aun así, las señales básicas de advertencia siguen siendo las mismas. La primera es la presión para tomar una decisión urgente. Si un mensaje afirma que la reserva se cancelará en unos minutos, que es necesario confirmar inmediatamente la tarjeta o que el pago debe realizarse antes de que expire un plazo breve, hay que detenerse. La segunda señal es una solicitud de pago fuera de la plataforma oficial. La tercera es el cambio del canal de comunicación habitual, por ejemplo pasar de la aplicación de reservas a un número privado de WhatsApp, una dirección de correo electrónico desconocida o un enlace que no pertenece al dominio oficial.
La cuarta señal es documentación poco clara o no disponible. La FTC aconseja no firmar ni pagar nada hasta que el usuario reciba las condiciones de la oferta, las normas de cancelación y de reembolso. Si el vendedor evita dejar constancia escrita, se niega a enviar un contrato o no puede explicar cargos adicionales, es mejor desistir. La quinta señal es un precio inusualmente bajo. En el turismo existen descuentos, pero una oferta que es sustancialmente más barata que todas las opciones comparables debe observarse como una señal de verificación adicional, especialmente si aparece solo en una página desconocida.
Cómo protegerse antes de pagar una reserva
La protección contra las estafas de viajes comienza antes de introducir los datos de la tarjeta. El usuario debería escribir por sí mismo la dirección de una página conocida en el navegador o abrir la aplicación oficial, en lugar de hacer clic en un anuncio o en un enlace de un mensaje. En las reservas de hotel conviene comprobar el dominio, el nombre de la empresa que procesa el pago, las condiciones de cancelación y el precio final antes de confirmar. En alojamientos privados es necesario comprobar si existe una dirección, si las fotografías coinciden con otras fuentes y si el establecimiento puede confirmarse a través del canal oficial de la plataforma.
En los billetes de avión debe comprobarse quién emite el billete, si la reserva puede verse en el sistema de la aerolínea y si las condiciones de equipaje, cambio de vuelo y reembolso están claramente indicadas. Si el intermediario afirma que el billete existe, pero no puede dar un número de reserva válido que pueda verificarse con el transportista, debe detenerse el pago. Se necesita especial precaución con anuncios en redes sociales y páginas que no tienen datos claros de la empresa, dirección, atención al cliente y normas de devolución.
Después de la reserva, lo más importante es no reaccionar impulsivamente a mensajes posteriores sobre problemas de pago. Si aparece la afirmación de que la reserva está en peligro, el usuario debería abrir por su cuenta la cuenta oficial y comprobar el estado de la reserva. Para las cuentas en plataformas de reservas se recomienda una contraseña fuerte y única, así como activar la autenticación de dos factores cuando esté disponible.
En caso de sospecha de que la estafa ya se ha cometido, hay que contactar inmediatamente con el banco o el emisor de la tarjeta, intentar detener la transacción y cambiar las contraseñas si los datos se introdujeron en una página sospechosa. Es útil denunciar la estafa a la plataforma, a los organismos locales de consumo y a los servicios competentes contra la ciberdelincuencia. Aunque la devolución del dinero no siempre es posible, una reacción rápida puede limitar el daño, impedir transacciones adicionales y ayudar a eliminar páginas o anuncios falsos antes de que engañen a otros usuarios.
Fuentes:
- Federal Trade Commission – consejos para reconocer y evitar estafas de viajes (link)
- Federal Trade Commission – datos sobre pérdidas denunciadas por fraude en 2024 (link)
- Better Business Bureau – advertencia sobre páginas falsas de hoteles y estafas de reservas (link)
- Microsoft Security Blog – análisis de una campaña de phishing que se hacía pasar por Booking.com (link)
- The Guardian – informe sobre el incidente de seguridad y los datos expuestos de usuarios de Booking.com en abril de 2026 (link)
- WIRED – explicación de las estafas de secuestro de reservas y recomendaciones para una comunicación más segura (link)
- AARP – resumen de las señales de advertencia más comunes en las estafas de viajes y el papel de las herramientas de IA (link)