Cuando buscas alojamiento por internet y encuentras una oferta que parece perfecta, el cerebro toma el mando y los dedos van solos hacia el botón de reservar. Pero este verano de 2026, las reservas de hotel y alquiler vacacional se han convertido en el terreno favorito de los ciberdelincuentes: el Instituto Nacional de Ciberseguridad (INCIBE) ha confirmado un incremento del 70% en este tipo de fraudes respecto al año anterior. El error más común no es la ingenuidad: es la confianza depositada en fotos que, sencillamente, no pertenecen al propietario real.
Los estafadores no operan desde un único rincón de internet. Están en Airbnb, en Booking, en HomeAway, y también en anuncios de redes sociales que parecen totalmente legítimos. Lo que tienen en común es siempre lo mismo: imágenes robadas de otros anuncios, un precio que parece irresistible y una petición de pago por transferencia bancaria que, una vez ejecutada, hace desaparecer al supuesto arrendador del mapa.
Las reservas de hotel en el punto de mira del fraude digital
La mecánica del timo es más sofisticada de lo que parece. El ciberdelincuente publica un anuncio con fotos robadas de otra plataforma, precios ligeramente por debajo del mercado —lo suficiente para despertar el interés, pero no tanto como para parecer sospechoso— y una descripción impecable, a veces generada con inteligencia artificial. El primer contacto suele ser fluido y en perfecto español; el problema llega cuando piden el dinero fuera de la plataforma.
El INCIBE advierte que, en muchos casos, el estafador reside en otro país y utiliza un intermediario en España para recibir el pago, lo que dificulta enormemente el rastreo posterior. Una vez realizada la transferencia, la víctima descubre que el apartamento no existe, o que el propietario real no sabe nada de ninguna reserva. Recuperar ese dinero es, en la práctica, casi imposible.
Cómo identificar el phishing en reservas de hotel antes de pagar
Las reservas de hotel fraudulentas han evolucionado hacia una modalidad conocida como Reservation Hijack Scam o «secuestro de reservas». Según recoge moncloa.com, esta técnica —relacionada directamente con el phishing— ya no se basa en mensajes genéricos ni en errores ortográficos evidentes: los delincuentes utilizan datos reales de una reserva ya confirmada (nombre del cliente, fechas, precio por noche) para reclamar un pago adicional suplantando al hotel o a la plataforma.
La IA ha cambiado las reglas del juego: los textos fraudulentos ya no tienen faltas, el idioma es perfecto y los detalles son reales. Detectar el engaño requiere fijarse en señales que van más allá de la ortografía: una URL que no coincide exactamente con la web oficial, una petición de pago fuera de la plataforma o un enlace enviado por WhatsApp para «confirmar los datos de la tarjeta» son señales de alarma inequívocas.
Errores que convierten una reserva en una pesadilla
El primero y más costoso: pagar por transferencia bancaria a solicitud del anunciante. Las plataformas legítimas disponen de sus propios sistemas de pago que protegen al comprador; cualquier petición de pago alternativo debe interpretarse como una señal de peligro. El segundo error habitual es no verificar si las fotos del anuncio están duplicadas: herramientas como la búsqueda inversa de imágenes de Google permiten comprobar en segundos si esas fotografías aparecen en otras webs o plataformas.
El tercer fallo es dejarse llevar por la urgencia. Frases como «solo queda una plaza» o «oferta válida 24 horas» están diseñadas para que el usuario actúe sin reflexionar. En las reservas de hotel y alquileres vacacionales legítimos, el propietario no necesita presionar: si el apartamento es real y el precio es justo, la oferta puede esperar las horas que necesites para verificar.
Señales concretas que debes revisar antes de confirmar
Antes de hacer clic en «pagar», el INCIBE recomienda repasar esta lista:
- Precio sospechosamente bajo: compara con otros alojamientos de la misma zona y fechas.
- Fotos duplicadas: usa Google Imágenes para verificar que no estén en otra plataforma.
- Pago fuera de la plataforma: nunca transfieras dinero directamente al anunciante.
- Propietario «en el extranjero»: los estafadores siempre tienen una excusa para no enseñar el piso.
Verifica el número de registro turístico
Desde 2025, España exige que todos los alojamientos turísticos incluyan un número de registro oficial en sus anuncios. Si el anuncio no lo tiene, ya tienes el primer motivo para desconfiar. No sustituye al resto de comprobaciones, pero es una primera criba rápida y efectiva.
Llama directamente al alojamiento
Si recibes un correo o mensaje pidiendo un pago adicional tras una reserva de hotel ya confirmada, no hagas clic en ningún enlace. Accede directamente a la web oficial del establecimiento o llama por teléfono. El phishing más sofisticado se deshace en cuanto verificas la información por un canal diferente al que usó el estafador.
El futuro inmediato: más IA, más verificación y más legislación
La buena noticia es que la respuesta institucional se está acelerando. El INCIBE ha reforzado su Línea de Ayuda en Ciberseguridad (017) y las plataformas más grandes están incorporando capas adicionales de verificación para los anunciantes, incluyendo comprobación de identidad y de titularidad del inmueble. La Guardia Civil y la Policía Nacional han creado unidades específicas para este tipo de fraudes, con resultados cada vez más visibles.
La tendencia que marcarán los próximos meses es clara: el fraude en reservas de hotel y alquileres vacacionales se volverá aún más personalizado gracias a la IA generativa, pero también serán más potentes las herramientas de detección automatizada. Mientras tanto, el mejor escudo sigue siendo el de siempre: desconfiar de lo que parece demasiado bueno, verificar antes de pagar y nunca salir de la plataforma oficial para completar una transacción.
