Un hotel de Santiago denunció una maniobra que ya no puede leerse como un hecho aislado: delincuentes habrían utilizado el WhatsApp de la empresa para contactar a clientes, ofrecerles una supuesta promoción exclusiva y pedirles una transferencia para acceder al beneficio. La promoción era falsa. El dinero, en cambio, era real.

La modalidad combina tres elementos peligrosos: una marca conocida, un canal de comunicación habitual y la urgencia de una oportunidad aparentemente irrepetible. El cliente cree estar hablando con el hotel, no con un delincuente. Esa es la clave de este tipo de fraude: no empieza por la tecnología, sino por la confianza.

En Argentina, los delitos informáticos vienen creciendo con fuerza. La Unidad Fiscal Especializada en Ciberdelincuencia informó que en 2024 recibió 34.468 reportes, un aumento interanual del 21,1%. La modalidad más frecuente fue el fraude en línea, con 21.729 reportes, seguida por usurpación de identidad, accesos ilegítimos y phishing. Dentro de los accesos ilegítimos, también se registraron casos vinculados con cuentas de WhatsApp.

Una estafa que aprovecha la confianza del cliente

En el caso denunciado en Santiago, el anzuelo fue una promoción exclusiva. Esa fórmula se repite en distintos puntos del país y del mundo: los delincuentes se hacen pasar por hoteles, complejos turísticos, agencias o plataformas de reserva, y luego solicitan pagos anticipados por transferencia bancaria.

La maniobra suele presentarse como algo simple: "hay una promoción por tiempo limitado", "queda una habitación", "para congelar el precio hay que transferir ahora" o "la reserva se cae si no se confirma el pago". La víctima no siempre sospecha porque el mensaje llega desde un canal que parece legítimo.

La Dirección Nacional de Ciberseguridad define este tipo de maniobras como formas de phishing o robo de identidad, donde una persona se hace pasar por una empresa, banco, institución u organismo para obtener datos, dinero o acceso a cuentas.

Casos que muestran la magnitud del problema

Uno de los antecedentes internacionales más conocidos involucra a Booking.com. En Reino Unido, entre junio de 2023 y septiembre de 2024, se reportaron 532 casos relacionados con estafas a usuarios de la plataforma, con pérdidas por aproximadamente 370.000 libras esterlinas. En muchos casos, los mensajes parecían provenir de alojamientos reales o de canales vinculados con reservas existentes.

También se reportaron ataques contra hoteles mediante campañas de phishing dirigidas al personal. Una investigación citada por TechRadar describió una campaña en la que delincuentes buscaban comprometer cuentas de administradores hoteleros, acceder a datos de reservas y luego contactar a huéspedes mediante correos, WhatsApp o sitios falsos vinculados a plataformas conocidas.

La lógica es la misma que aparece en el caso santiagueño: los estafadores no improvisan un engaño desde cero, sino que se apoyan en información real o en una identidad comercial reconocible para que la víctima baje la guardia.

El modus operandi paso a paso

1. Suplantan al hotel o acceden a un canal real

Los delincuentes pueden operar de varias maneras. A veces logran tomar control de una cuenta de WhatsApp mediante engaños al personal. Otras veces crean perfiles falsos, páginas web apócrifas, cuentas de redes parecidas o números de WhatsApp que imitan la identidad del hotel.

También puede ocurrir que ataquen a empleados con mensajes de phishing, links falsos o supuestas verificaciones de seguridad. Una vez dentro de una cuenta o sistema, usan la información disponible para contactar a clientes con mayor credibilidad.

2. Ofrecen una promoción demasiado conveniente

El mensaje suele ser atractivo y urgente. Puede presentarse como "promoción exclusiva", "tarifa especial", "beneficio para clientes frecuentes", "últimas habitaciones" o "descuento por pago anticipado".

El truco está en que la oferta parece razonable dentro del rubro turístico, donde las señas y reservas anticipadas son habituales. Por eso la víctima no siempre detecta la estafa de inmediato.

3. Piden transferencia inmediata

Este es el punto central del fraude. Los delincuentes solicitan una transferencia a un CBU, CVU, alias o billetera virtual que no pertenece formalmente al hotel. Muchas veces la cuenta está a nombre de una persona física, de un tercero o de una denominación parecida a la empresa.

Cuando la víctima transfiere, recibe una supuesta confirmación de reserva, una captura, un comprobante o un mensaje amable que busca cerrar la operación y evitar sospechas.

4. Presionan con urgencia

La urgencia es parte del engaño. Los mensajes suelen incluir frases como "la promoción vence en minutos", "queda una sola habitación", "el sistema libera la reserva" o "necesitamos confirmar ahora".

Ese apuro no es casual: busca impedir que el cliente llame al hotel, consulte la web oficial o verifique la cuenta bancaria antes de pagar.

5. Desaparecen o bloquean a la víctima

Una vez cobrado el dinero, los estafadores pueden seguir respondiendo durante algunas horas para ganar tiempo. Después bloquean al cliente, cambian de número o abandonan la cuenta utilizada.

En otros casos, la víctima recién descubre el engaño cuando llega al hotel y se entera de que no existe ninguna reserva a su nombre.

Por qué los hoteles son un blanco atractivo

El sector turístico es especialmente vulnerable por varias razones. Los clientes suelen pagar señas. Muchas reservas se coordinan por WhatsApp. Los descuentos por temporada son habituales. Y, además, el cliente muchas veces está apurado por asegurar alojamiento antes de viajar.

A eso se suma otro factor: la identidad del hotel funciona como garantía emocional. Si el mensaje parece salir del alojamiento verdadero, la víctima no siente que está tratando con un desconocido.

Por eso este tipo de delito no debe reducirse a "hackearon un WhatsApp". Es más profundo: se trata de una suplantación digital de identidad comercial usada para ejecutar una estafa económica.

Señales de alerta para clientes

Hay señales que deben encender una alarma inmediata:

• La promoción solo llega por WhatsApp y no figura en la web oficial del hotel.
• El pago debe hacerse con urgencia para no perder el beneficio.
• La cuenta bancaria no está a nombre del hotel o de su razón social.
• El alias parece improvisado, genérico o parecido al nombre comercial.
• No emiten factura, recibo formal ni número de reserva verificable.
• El supuesto empleado evita llamadas telefónicas o responde solo por mensajes.
• El descuento es demasiado grande en relación con los precios habituales.
• El mensaje incluye presión emocional o comercial para pagar en el momento.

Cómo evitar caer en una falsa promoción hotelera

Antes de transferir, el cliente debe verificar por otro canal. No alcanza con que el número tenga foto del hotel o que use el logo de la empresa. Hay que llamar al teléfono fijo o al número publicado en la web oficial, consultar por correo institucional o ingresar manualmente al sitio del hotel, sin tocar links enviados por WhatsApp.

También es clave revisar el titular de la cuenta bancaria. Si el hotel opera formalmente, la cuenta debería estar a nombre de la empresa, sociedad, titular comercial declarado o razón social correspondiente. Una cuenta personal desconocida es una señal de riesgo.

Cuando la reserva se hace mediante una plataforma, el pago debe realizarse dentro de los canales oficiales de esa plataforma. Las advertencias internacionales sobre estafas vinculadas a reservas remarcan que los usuarios deben desconfiar de pedidos de pago externos, links sospechosos o mensajes que amenazan con cancelar una reserva si no se ingresan datos de tarjeta o se transfiere dinero.

Qué deben hacer los hoteles y comercios

Para las empresas, la prevención empieza antes de la crisis. Un hotel no debería depender de un solo celular, una sola clave o una sola persona para manejar el canal principal de reservas.

Las medidas mínimas deberían incluir:

• Verificación en dos pasos en WhatsApp.
• Correo institucional asociado a la cuenta.
• Control frecuente de dispositivos vinculados.
• Contraseñas fuertes y únicas.
• Capacitación al personal para detectar phishing.
• Publicación clara de cuentas bancarias oficiales.
• Protocolo interno para promociones y reservas.
• Sistema de doble validación antes de informar pagos.

La verificación en dos pasos es una herramienta básica para proteger cuentas. Argentina.gob.ar recomienda activarla en redes y servicios digitales, y en el caso de WhatsApp implica crear un código adicional de seis dígitos para reforzar el acceso a la cuenta.

Qué debe hacer un hotel si le toman el WhatsApp

La empresa debe actuar rápido. Primero, recuperar o bloquear la cuenta comprometida. Segundo, avisar por todos sus canales oficiales: web, redes sociales, correo, recepción, teléfono y cartelería. Tercero, publicar una advertencia clara con los datos de pago válidos y los números autorizados.

También debe conservar toda la evidencia: capturas de pantalla, números usados por los estafadores, alias bancarios, CBU, CVU, nombres de titulares de cuentas, comprobantes enviados por víctimas, horarios de mensajes y perfiles utilizados.

La denuncia penal debe ser lo más completa posible. En estos casos, la prueba digital es frágil y puede desaparecer rápido. Cada captura, cada alias y cada número ayudan a reconstruir la ruta del dinero.

Qué hacer si ya se transfirió dinero

La víctima debe comunicarse de inmediato con su banco o billetera virtual para reportar la operación, pedir bloqueo preventivo, dejar asentado el reclamo y solicitar trazabilidad de la transferencia.

El Banco Central indica que, ante fraude o estafa, el usuario debe reclamar primero ante la entidad financiera o proveedor involucrado. También recomienda conservar número de reclamo, comprobantes, capturas y toda la documentación disponible. Si corresponde, puede intervenir la Unidad Fiscal Especializada en Ciberdelincuencia.

Además, debe realizar la denuncia policial o judicial. En ciberdelitos, la rapidez importa: cuanto antes se informa la maniobra, más posibilidades hay de identificar cuentas receptoras, bloquear fondos o detectar patrones vinculados a otras víctimas.

Antes de transferir por una reserva

• Verificar la promoción en la web oficial.
• Llamar al hotel por un número publicado oficialmente.
• Confirmar que el alias o CBU pertenezca al hotel.
• No pagar a cuentas personales desconocidas.
• No tocar links recibidos por WhatsApp.
• No compartir códigos de verificación.
• Pedir factura, recibo o número de reserva.
• Desconfiar de mensajes urgentes o descuentos exagerados.

Medidas urgentes para hoteles

• Activar verificación en dos pasos.
• Controlar dispositivos vinculados a WhatsApp.
• Usar correos institucionales.
• Publicar medios de pago oficiales.
• Capacitar al personal contra phishing.
• Evitar que una sola persona concentre accesos.
• Tener protocolo de crisis ante suplantación.
• Informar rápidamente cualquier hackeo o intento de fraude.

La clave del engaño

El delincuente no necesita inventar una empresa. Le alcanza con copiarla, tomar su canal o parecerse lo suficiente. En ese margen de confianza robada se produce la estafa.

Por eso, la recomendación central para los clientes es simple: si la promoción es real, debe poder verificarse por canales oficiales. Y para las empresas, el mensaje es igual de claro: la seguridad digital ya no es un asunto técnico, es parte de la atención al cliente y de la reputación comercial.

En tiempos en que WhatsApp se convirtió en mostrador, recepción, oficina de reservas y caja informal de miles de negocios, proteger una cuenta es proteger también a cada cliente que confía en ella.

El caso denunciado en Santiago expone una amenaza concreta: las estafas digitales ya no llegan solamente por correos extraños o llamadas anónimas. También pueden entrar por el canal más cotidiano, el que la gente usa todos los días para reservar, consultar y pagar.

La prevención no exige paranoia, pero sí método. Antes de transferir, verificar. Antes de creer en una promoción, confirmar. Antes de enviar dinero, mirar el nombre de la cuenta. En las estafas por WhatsApp, la diferencia entre caer y salvarse puede estar en una llamada de treinta segundos.

Fuente: Nuevo Diario Web