Las maletas ya asoman por el pasillo y el móvil no para de vibrar con ofertas, confirmaciones y avisos urgentes.
Muchos españoles preparan escapadas y reservas para los puentes y Navidad. En ese escenario, proliferan mensajes que imitan a servicios de viaje y que buscan tu confianza. Conviene distinguirlos a tiempo, porque un solo toque en el enlace equivocado puede vaciar una tarjeta o secuestrar cuentas.
Qué hay detrás de los WhatsApp que inquietan a los viajeros
La Policía Nacional advierte de un repunte de phishing por WhatsApp dirigido a quienes han hecho una reserva en plataformas como Booking, Airbnb o Expedia. Los ciberdelincuentes aprovechan los días de más movimiento para enviar supuestas “verificaciones de pago”, “actualizaciones de datos” o “incidencias con la reserva”. El mensaje genera prisa, incluye un enlace y conduce a una web que copia el diseño de la plataforma real.
Si un tercero te exige pagar o actualizar datos por WhatsApp, es un fraude. Las gestiones se hacen dentro de la app o web oficial.
El objetivo es siempre el mismo: capturar datos bancarios, contraseñas o credenciales de acceso. Con esa información, los estafadores realizan cargos no autorizados, toman el control de buzones de correo o abren sesiones en servicios vinculados al viaje.
Así funciona la estafa paso a paso
- Realizas una reserva legítima en un portal conocido y recibes su email de confirmación.
- Poco después, llega un WhatsApp que se hace pasar por el anfitrión, el hotel o el “equipo de pagos”.
- El texto alega un problema con el cobro o una verificación obligatoria “por tu seguridad” y te presiona con plazos.
- Incluye un enlace a una página calcada de la original, con logos y tipografías idénticas.
- Te pide tarjeta, PIN de firma, usuario y contraseña para “regularizar” la estancia.
- Tras introducir los datos, los atacantes ejecutan cargos y reutilizan credenciales en otros servicios.
Las webs fraudulentas suelen tener dominios largos, guiones extraños o faltas sutiles: un detalle mínimo delata la copia.
Señales que delatan el fraude
- Urgencia artificial: “Si no pagas en 30 minutos, cancelamos tu reserva”.
- Canal inusual: te piden pagar o confirmar datos por WhatsApp o SMS.
- Enlace acortado o dominio que no coincide con el oficial.
- Faltas de ortografía o expresiones genéricas sin tu nombre ni número de reserva.
- Solicitan credenciales completas o códigos que jamás te pediría una empresa seria.
|Canal
|Cómo actúa una plataforma legítima
|Señal de alerta típica
|Comunicación informativa del anfitrión, sin cobros ni formularios externos
|Enlace a “verificación de pago” o a un portal de actualización
|Notificaciones dentro de la app; los pagos se confirman en el sitio oficial
|Petición de tarjeta o contraseña fuera de la web de la plataforma
|Llamada telefónica
|Atención al cliente redirige a la aplicación
|Exigen datos bancarios o códigos por teléfono
Qué debes hacer si ya pinchaste en el enlace
- Cambia contraseñas de inmediato. Prioriza email, banca y plataformas de viaje. Activa la autenticación de dos factores.
- Contacta con tu banco y solicita bloqueo de la tarjeta y revisión de movimientos.
- Denuncia el caso a la Policía Nacional. Guarda capturas, números, dominios y horas.
- Si procede, llama al 017 (servicio público de ciberseguridad) para asesoramiento.
- Ejecuta un análisis con antivirus actualizado y revisa permisos de apps en el móvil.
Medidas proactivas antes de viajar
Protege tu economía con tarjetas virtuales o de prepago, límites de gasto y alertas en la app bancaria. Mantén el sistema operativo y las aplicaciones al día. Crea contraseñas únicas y largas, y guarda los comprobantes oficiales de la reserva para contrastar cualquier mensaje sospechoso.
Cómo verificar una reserva de forma segura
- Abre la app oficial del servicio y consulta el estado de tu reserva en “viajes”, “estancias” o “reservas”.
- Usa solo el chat interno de la plataforma para hablar con el anfitrión o el hotel.
- Escribe tú mismo la dirección web en el navegador. Evita pulsar enlaces recibidos por mensajería.
- Contrasta importes y condiciones con el email de confirmación original.
Ninguna plataforma seria te pedirá códigos de verificación o credenciales completas por mensajería privada.
Por qué crecen estas campañas en 2025
Hay más reservas, más prisa y más ruido promocional. Esa mezcla favorece el error. Los grupos criminales automatizan envíos, afinan los textos con herramientas de inteligencia artificial y compran bases de datos filtradas. Con pocos datos —nombre, fechas y destino— construyen mensajes que suenan creíbles y urgentes.
El papel de las plataformas
Portales como Booking, Airbnb o Expedia insisten en gestionar cobros y cambios dentro de sus sistemas. Mantienen mensajería interna, verificaciones y recordatorios de seguridad. Si alguien te conduce fuera de ese entorno, sospecha. Ante dudas, consulta el centro de ayuda desde la propia app y busca el sello del pago completado en la reserva.
Consejos rápidos que marcan la diferencia
- Desconfía del tono urgente. Los estafadores viven de tu reacción rápida.
- Mira el dominio completo antes de introducir datos: una letra alterada cambia todo.
- Configura 2FA en correo, banca y plataformas de viaje.
- Activa alertas de transacciones en tu banco para detectar cargos al minuto.
- Centraliza la comunicación en el chat oficial de la reserva.
Un ejemplo práctico para no caer
Si recibes “actualiza tu pago aquí” por WhatsApp, no pulses. Abre la app de la plataforma, entra en tu reserva y comprueba si aparecen avisos o saldos pendientes. Si todo figura como “confirmado”, ya tienes la respuesta: era un intento de phishing. Bloquea el número, elimina el mensaje y reporta.
Conceptos que conviene dominar
- Phishing: suplantación mediante webs o mensajes falsos que imitan a un servicio legítimo.
- Smishing: la misma técnica, pero por SMS o mensajería.
- Vishing: llamada telefónica que presiona para obtener datos o códigos.
La regla de oro: no pagues ni compartas datos sensibles fuera de la app o web oficial de tu reserva.
