En diciembre de 2024, Microsoft Threat Intelligence identificó una preocupante campaña de phishing que ha continuado activa durante 2025, dirigida específicamente a organizaciones de la industria hotelera y de viajes, como el caso de Booking.com. Esta campaña, atribuida al grupo conocido como Storm-1865, utiliza una técnica de ingeniería social denominada ClickFix, diseñada para distribuir malware y robar credenciales y datos financieros.
¿En qué consiste la técnica ClickFix?
El método de ataque ClickFix aprovecha la tendencia humana a intentar solucionar problemas técnicos rápidamente. En este caso, los correos electrónicos fraudulentos contienen mensajes que aparentan provenir de Booking.com, generando confianza en las víctimas. Por ejemplo, hacen referencia a reseñas negativas, solicitudes de clientes potenciales o verificaciones de cuentas. Una vez que el destinatario interactúa con el correo, es dirigido a una página falsa que simula ser de Booking.com, donde se despliega un CAPTCHA falso.
Este CAPTCHA busca engañar al usuario para que copie y ejecute un comando malicioso en su computadora, descargando malware sin ser detectado por soluciones de seguridad tradicionales. Algunos de los programas maliciosos distribuidos en esta campaña incluyen XWorm, Lumma Stealer, VenomRAT, y AsyncRAT, entre otros.
Áreas afectadas y objetivos
La campaña de Storm-1865 no se limita a una región geográfica específica. Las víctimas abarcan desde América del Norte hasta Europa, Oceanía y el Sudeste Asiático. Los atacantes se dirigen especialmente a trabajadores del sector hotelero y de viajes, quienes suelen tener conexiones directas con Booking.com, aumentando las probabilidades de éxito del fraude con el phishing.
Recomendaciones de protección
Microsoft ha publicado diversas recomendaciones para que tanto usuarios individuales como organizaciones puedan protegerse contra este tipo de amenazas:
- Formación y conciencia: Enseñar a los usuarios a identificar correos electrónicos sospechosos y evaluar la legitimidad de las direcciones de correo remitentes.
- Implementación de métodos de autenticación robusta: Activar la autenticación multifactor (MFA) en todas las cuentas, especialmente en servicios críticos.
- Uso de herramientas avanzadas de protección: Configurar soluciones como Microsoft Defender para Office 365 y navegadores con protección contra phishing, como Microsoft Edge con SmartScreen.
- Precaución ante mensajes urgentes: Sospechar de notificaciones que requieran acciones inmediatas, como hacer clic en enlaces o abrir archivos adjuntos.
Evolución del grupo Storm-1865
Desde principios de 2023, Storm-1865 ha mostrado una capacidad notable para evolucionar sus tácticas. Anteriormente, el grupo atacó a usuarios de plataformas de comercio electrónico y, más recientemente, ha añadido la técnica ClickFix a su arsenal. Esto subraya la importancia de actualizar constantemente las medidas de ciberseguridad frente a amenazas emergentes.
El caso de Storm-1865 y su estrategia de phising de Booking.com son un recordatorio crucial de la creciente sofisticación de los ciberdelincuentes. La colaboración entre empresas de tecnología, organizaciones y usuarios es vital para mitigar el impacto de estas amenazas y proteger los datos sensibles en una era digital cada vez más compleja.