👉 Los ciberdelincuentes están usando correos falsos de Booking.com para instalar malware en Windows mediante una técnica llamada ClickFix. Te cuento cómo funciona, con ejemplos reales y consejos prácticos para no caer en la trampa.

En el mundo digital, las estafas evolucionan tan rápido como la tecnología. Un caso reciente analizado por ESET en WeLiveSecurity muestra cómo los atacantes usan correos falsos de Booking.com para distribuir malware en Windows. El truco se apoya en la técnica ClickFix, que manipula al usuario para que ejecute comandos maliciosos creyendo que está solucionando un error.

¿Qué es ClickFix y por qué es tan peligroso?

ClickFix no explota una falla técnica del sistema, sino la confianza y urgencia del usuario.
En lugar de hackear directamente, los atacantes muestran pantallas falsas que inducen a la víctima a ejecutar comandos en Windows.
Según el ESET Threat Report H1 2025, los intentos de ClickFix crecieron más de 500% en un semestre, convirtiéndose en el segundo vector de ataque más común después del phishing tradicional.

Cómo empieza el engaño

Correo falso: llega un mail supuestamente de Booking.com, avisando de un problema con tu reserva o un reembolso pendiente.

Ejemplo: “Su reserva ha sido cancelada, haga clic aquí para confirmar el reembolso”.
El diseño imita perfectamente la estética oficial de Booking.

Página falsa: al hacer clic, el usuario es llevado a un sitio que parece Booking.com, pero no lo es.

Allí aparece un mensaje tipo “La carga está tardando demasiado, recargue la página”.

Pantalla azul falsa (BSOD): al presionar el botón, el navegador entra en pantalla completa y muestra una Blue Screen of Death falsa.

A diferencia de una BSOD real, esta incluye instrucciones para ejecutar comandos en PowerShell.
El usuario cree que está arreglando el error, pero en realidad está instalando malware.

Qué pasa si ejecutás el comando

Los investigadores de Securonix documentaron que el comando:

Descarga un proyecto .NET y lo compila con MSBuild.exe.
Instala un troyano de acceso remoto (DCRAT).
Desactiva defensas como Windows Defender.
Permite control remoto, keylogging, robo de datos y hasta instalación de mineros de criptomonedas.

En otras palabras: el usuario termina infectando su propia PC con un malware diseñado para robar información y dar acceso total al atacante.

Casos documentados

Hotelería y turismo: empleados que reciben correos urgentes sobre reservas caen fácilmente en la trampa por la presión de responder rápido.
Usuarios particulares: viajeros que esperan confirmaciones de Booking son más vulnerables, porque el contexto hace que el correo falso parezca legítimo.

Cómo protegerte

Nunca ejecutes comandos desconocidos: una BSOD real jamás te pedirá copiar y pegar comandos.
Verificá la autenticidad de los correos: si recibís un mail sospechoso, entrá a Booking.com directamente desde tu navegador, no desde el enlace.
Capacitá al personal: en PyMEs de turismo y hotelería, la formación en seguridad digital es clave.
Usá soluciones de seguridad: antivirus y sistemas de protección que detecten abuso de herramientas legítimas como MSBuild.
Recordá que la urgencia es la trampa: los atacantes juegan con tu necesidad de resolver rápido.

Conclusión

El caso de phishing con Booking.com y ClickFix es un ejemplo perfecto de cómo la ingeniería social puede ser más peligrosa que un fallo técnico. No se trata de vulnerabilidades del sistema, sino de vulnerabilidades humanas.

En JADM seguimos de cerca estas tendencias porque afectan tanto a usuarios finales como a PyMEs. La clave está en educar, prevenir y desconfiar de lo que parece demasiado urgente para ser cierto.

📌 Fuentes: