La tipografía es un campo lleno de curiosidades. Pero seguro que no habías pensado que una de esas curiosidades podría ser la razón que multiplicaría las probabilidades de que cayeses víctima de una estafa de suplantación de Booking.com, ahora en plena temporada alta de reservas.
La culpa de todo lo tiene una ‘letra’ (un carácter silábico, en realidad) de origen japonés, ん (o U+3093, en terminología Unicode), que en algunas situaciones puede confundirse con una barra inclinada, de modo que la dirección parece una ruta interna del dominio legítimo.
Cómo funciona el truco de la «ん»
Los correos y mensajes fraudulentos muestran, en el texto visible, algo que parece ser un panel oficial de Booking, por ejemplo: https://admin.booking.com/hotel/hoteladmin/…
Sin embargo, el hipervínculo real lleva a una URL trampa con «ん» insertadas estratégicamente:
account.booking.comんdetailんrestric-access.www-account-booking.com/en/
En entornos donde «ん» se percibe como «/n» o «/~», según el caso, la barra de direcciones engaña y da la impresión de que se navega por subcarpetas de booking.com. En realidad, el dominio registrado —el único que importa para saber «de quién es» el sitio— es el que aparece más a la derecha antes de la primera «/»: www-account-booking[.]com. Todo lo que hay a su izquierda es solo un subdominio decorativo que imita la estructura del sitio real.
Tras el clic inicial, las víctimas son redirigidas a una nueva URL, desde la que el navegador descargará un instalador MSI. Los análisis en MalwareBazaar y en la plataforma Any.Run describen que el MSI actúa como cargador que deja caer payloads adicionales, frecuentes en campañas de infostealers (robo de credenciales y datos) y/o troyanos de acceso remoto (RAT).
Punto clave: mira siempre el extremo derecho del dominio antes de la primera barra “/”. Es la prueba del algodón para verificar la titularidad real del sitio.
¿Por qué «cuela» esa «ん»? Homoglifos y ataques homógrafos
La estafa explota los homoglifos: caracteres de distintos alfabetos que se parecen mucho entre sí para el ojo humano (problema que pueden agravar, además, ciertas tipografías), pero que son distintos a nivel de código. Aquí, «ん» (del sistema silábico hiragana japonés) puede confundirse con “/n” o con “/~” según la fuente, creando URLs visualmente convincentes.
Este tipo de trucos es la base de los ataques homógrafos, que el ecosistema de navegadores intenta mitigar con políticas de visualización de IDN, pero que los delincuentes siguen sabiendo sortear recurriendo a la imaginación tipográfica.
Por otra parte, hay también otras «estafas tipográficas» en circulación (lo que suele denominarse typosquatting) : se han visto campañas que sustituyen letras para formar dominios casi idénticos a los reales. Un ejemplo: correos que aparentan venir de Intuit, pero usan dominios que empiezan por ‘Lntuit’—en minúsculas, la ‘L’ puede confundirse con ‘i’ según la fuente. La maquetación estrecha sugiere que los atacantes buscan clics rápidos desde el móvil. Moraleja: la tipografía también es un arma en cibercrimen.
¿Qué verás en tu bandeja?
- Remitentes y plantillas verosímiles. Correos que aparentan ser comunicaciones administrativas de Booking (p. ej., «verifica tu acceso» o «restricciones de cuenta»). En el cuerpo, los enlaces parecen del tipo
admin.booking.com/...pero apuntan a la URL con «ん». - Diseño centrado en móvil. Algunos cebos de campañas similares (p. ej., Intuit) muestran maquetaciones estrechas que invitan a pulsar el botón sin inspeccionar el enlace. Es un recordatorio de que en móviles es más difícil comprobar dominios largos.
Cómo detectar (mejor) el engaño
- Detente en el «lado derecho» del dominio. Identifica el dominio registrado (lo que está inmediatamente antes de la primera “/”, y cuyo núcleo va entre el último y penúltimo punto).
- Desconfía de signos raros o repeticiones inusuales. Si en la dirección ves símbolos extraños (p. ej., “ん”) o cadenas largas de subdominios, sospecha.
- Pasa el ratón (o mantén pulsado) antes de abrir. Verifica el destino real del enlace; recuerda que el texto visible puede ser distinto del hipervínculo subyacente.
- Evita instalar «actualizaciones» desde enlaces de correo. La campaña descarga un archivo ejecutable MSI; así que si no esperabas instalar nada, cancela.
- Un buen antimalware y filtros de reputación web pueden cortar la cadena (descarga y ejecución). Los analistas observaron cargas secundarias típicas de stealers y RAT; la prevención por capas es crucial.
¿Y si ya hice clic?
- Desconecta de la red (si descargaste o ejecutaste el MSI).
- Pasa un escaneo completo con tu solución de seguridad y/o utiliza un EDR.
- Cambia contraseñas de Booking y del correo, solo desde un equipo limpio.
- Revisa actividad reciente en tus paneles de reservas y en la bandeja de entrada (filtros y reenvíos sospechosos).
- Informa a tu responsable de TI o proveedor de ciberseguridad.
Estas acciones reducen el riesgo de robo de credenciales y acceso lateral en tu organización.
También van a por los empleados del sector hotelero
En plena época de vacaciones, con prisas y reservas de última hora, el ‘anzuelo’ de un cambio de disponibilidad, cobro pendiente o actualización urgente resulta especialmente eficaz. Pero no es la primera vez que Booking.com aparece en campañas masivas de phishing en lo que va de año: a comienzos de año se notificaron ofensivas que suplantaban al servicio y recurrían a la técnica ClickFIX para infectar a trabajadores de hoteles.
¿Y qué es eso de ClickFIX? Se da cuando la web maliciosa muestra una supuesta verificación de «no soy un robot», luego provoca un error simulado y guía al usuario para que ejecute comandos en su equipo “para solucionar el acceso”. Este esquema es ingenioso porque traslada la iniciativa a la víctima y evita algunos controles automáticos.
Vía | BleepingComputer
Imagen | Marcos Merino mediante IA
En Genbeta | Estafa Booking: cómo identificar de cuál estás siendo víctima para proteger tus vacaciones
–
La noticia
Una letra japonesa es la clave de esta ciberestafa veraniega: así logra suplantar a Booking si no te fijas bien
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
