Tres de cada diez grandes webs de viajes no aplican la protección más estricta contra la suplantación por correo
Martes, 14 Julio 2026

Tres de cada diez grandes webs de viajes no aplican la protección más estricta contra la suplantación por correo

El 30 % de las principales páginas de viajes online analizadas en España no utiliza la configuración más estricta para impedir que los ciberdelincuentes suplanten su identidad mediante correos electrónicos fraudulentos.

Así lo recoge un estudio elaborado por Proofpoint, empresa de ciberseguridad y cumplimiento normativo, a partir del análisis de veinte de los sitios web de viajes con mayor tráfico en España durante mayo de 2026, seleccionados según datos de Semrush.

Aunque el 95 % de los dominios examinados dispone de algún registro DMARC, solo el 70 % aplica una política de rechazo, el nivel de protección que impide que los mensajes fraudulentos lleguen a la bandeja de entrada de los usuarios.

Este tipo de suplantaciones puede emplearse para imitar confirmaciones de reserva, solicitar pagos fraudulentos o robar las credenciales de los viajeros. Para hoteles, agencias, aerolíneas y plataformas de reservas, el riesgo no se limita al fraude económico, ya que también puede afectar a la confianza del cliente y a la reputación de la marca.

Los correos falsos aprovechan la relación entre el hotel y el huésped

DMARC es un sistema de autenticación del correo electrónico diseñado para evitar que terceros envíen mensajes haciéndose pasar por una empresa o utilizando de forma fraudulenta su dominio.

El protocolo dispone de tres niveles de protección. El primero permite supervisar los mensajes sospechosos, el segundo puede enviarlos a cuarentena y el tercero los rechaza directamente.

Esta última configuración resulta especialmente relevante para las empresas turísticas, que mantienen una comunicación constante con sus clientes mediante correos relacionados con reservas, confirmaciones, pagos, cambios de fechas, cancelaciones o servicios adicionales.

Los ciberdelincuentes pueden aprovechar estas comunicaciones para enviar mensajes que imitan los de hoteles, agencias de viajes, aerolíneas o plataformas de reservas. Su objetivo suele ser conseguir datos personales, credenciales de acceso o pagos a través de páginas falsas.

«Reservar unas vacaciones es una de las mayores compras que muchas personas realizan cada año y, a menudo, viene acompañada de un aluvión de correos electrónicos sobre vuelos, hoteles, itinerarios y ofertas especiales», explica Fernando Anaya, director general de Proofpoint para España y Portugal.

Según el directivo, este volumen de comunicaciones ofrece una oportunidad atractiva para quienes intentan suplantar a marcas conocidas y engañar a los viajeros.

El fraude también puede dañar la reputación del hotel

Aunque el ataque se produzca fuera de los sistemas de la empresa, la víctima puede asociar la estafa con la marca que ha sido suplantada.

Para hoteles, cadenas y plataformas turísticas, estos incidentes pueden provocar reclamaciones, pérdida de confianza y daños reputacionales. También pueden generar dudas entre los clientes sobre la seguridad de las reservas y los pagos realizados a través de canales digitales, en un contexto en el que la ciberseguridad se ha convertido en una de las claves de la experiencia del viajero

La adopción de políticas de autenticación más estrictas reduce el riesgo de que terceras personas utilicen el dominio de una empresa para distribuir correos fraudulentos.

«Aunque resulta alentador ver que muchas empresas del sector de viajes están reforzando su seguridad del correo electrónico, todavía son demasiadas las que dejan a sus clientes expuestos a mensajes fraudulentos», señala Fernando Anaya.

El responsable de Proofpoint considera que mejorar estas medidas de protección puede dificultar la actividad de los estafadores y reforzar la confianza del viajero durante el proceso de reserva.

Cómo reducir el riesgo de fraude durante el proceso de reserva

Proofpoint recomienda realizar las reservas a través de páginas oficiales o de agentes acreditados y comprobar previamente la identidad y la reputación de la empresa.

También aconseja desconfiar de mensajes inesperados que comuniquen cambios en una reserva, soliciten pagos adicionales o exijan una actuación urgente.

Este tipo de correos puede dirigir al usuario hacia páginas falsas creadas para robar contraseñas, datos bancarios o información personal. Por ello, es preferible acceder directamente a la página oficial de la empresa desde el navegador en lugar de pulsar sobre los enlaces incluidos en el mensaje.

La compañía recomienda asimismo utilizar contraseñas diferentes para cada cuenta y activar la autenticación multifactor siempre que esté disponible.

Por su parte, los hoteles y demás empresas turísticas deberían reforzar la ciberseguridad del hotel, revisar la configuración de sus dominios y sus protocolos de pago, además de explicar con claridad a sus clientes a través de qué canales pueden recibir comunicaciones, enlaces o solicitudes económicas.

El estudio se ha realizado sobre una muestra de veinte sitios web de viajes y no identifica públicamente las plataformas analizadas. Sus conclusiones reflejan, por tanto, el nivel de adopción de DMARC dentro de esa selección y no necesariamente el de todo el sector turístico español.

Portal de América - Fuente: Tecno Hotel News

Escribir un comentario

Promovemos la comunicación responsable. No publicamos comentarios de usuarios anónimos ni aquellos que contengan términos soeces o descalificaciones a personas, empresas o servicios.