Campaña de phishing dirigida al sector hotelero que se hace pasar por Expedia y Cloudbeds
8 de septiembre de 2025
Por Samantha Clarke, Ankit Gupta y el equipo de investigación de amenazas de Mimecast
- Campaña a gran escala de robo de credenciales dirigida a los profesionales del sector hotelero
- Se hace pasar por las plataformas de gestión hotelera de confianza «Expedia Partner Central» y «Cloudbeds»
- Las campañas se aprovechan de la confianza que generan las notificaciones habituales sobre reservas de hotel y comisiones
Resumen de la campaña
Samantha Clarke, Ankit Gupta y el equipo de investigación de amenazas de Mimecast han identificado una campaña de phishing activa dirigida específicamente a profesionales del sector hotelero a través de correos electrónicos fraudulentos que se hacen pasar por las plataformas Expedia Partner Central y Cloudbeds. Esta operación de robo de credenciales se aprovecha del carácter rutinario de las comunicaciones relacionadas con las reservas hoteleras para engañar a los destinatarios y que estos revelen sus credenciales de acceso.
La campaña utiliza asuntos de correo urgentes y de importancia crítica para el negocio, diseñados para incitar a los directores y al personal de los hoteles a actuar de inmediato. Entre los elementos más habituales se encuentran las alertas de seguimiento de comisiones, las actualizaciones del sistema, las confirmaciones de reservas de huéspedes y las notificaciones del Centro de socios. Estos temas se centran en el carácter urgente de las operaciones del sector hotelero, en el que las respuestas tardías a las reservas de los huéspedes o a las alertas del sistema pueden afectar directamente a los ingresos de la empresa.
Los autores de las amenazas demuestran un profundo conocimiento de los procesos operativos del sector hotelero al redactar correos electrónicos en los que hacen referencia a funciones específicas de la plataforma, como "Partner Central," el seguimiento de comisiones de "," y los mensajes para huéspedes de "." Los correos electrónicos redirigen a los destinatarios a páginas de inicio de sesión fraudulentas que imitan fielmente las interfaces legítimas de Expedia y Cloudbeds, diseñadas para obtener nombres de usuario, contraseñas y, posiblemente, tokens de autenticación multifactorial.
Toda la infraestructura maliciosa identificada utiliza la plataforma de alojamiento de aplicaciones de Vercel, lo que sugiere que los atacantes están aprovechando la facilidad de implementación y la apariencia legítima de este servicio para alojar sus sitios web destinados a la recopilación de credenciales. El uso sistemático de nombres de dominio y subdominios relacionados con el sector hotelero indica que se trata de una campaña dirigida y específica del sector, y no de un ataque de phishing oportunista de amplio alcance.
Protección de Mimecast
Mimecast ha implementado funciones de detección para identificar y bloquear los correos electrónicos relacionados con esta campaña dirigida al sector hotelero. Nuestro servicio URL Protect bloquea de forma activa el acceso a los dominios maliciosos identificados, mientras que nuestros motores antiphishing detectan los patrones de los correos electrónicos de la campaña y las características de los asuntos de los mensajes.
Seguimos vigilando los nuevos dominios y las tácticas empleadas por este actor malicioso, y actualizamos nuestras capacidades de detección a medida que evoluciona la campaña.
Destinatarios
Destinatarios principales: Profesionales del sector hotelero, entre los que se incluyen directores de hotel, personal de reservas y propietarios de establecimientos que utilizan las plataformas Expedia Partner Central y Cloudbeds
Ámbito geográfico: a nivel mundial, con especial atención a las regiones con una elevada actividad de reservas hoteleras
Sectores: Hostelería
Indicadores de compromiso (IOC)
Dominios maliciosos:
- Dominios relacionados con Cloudbeds:
- cloudbeds-extranet-verification[.]vercel[.]app
- console-dashboard-vv[.]vercel[.]app
- hotel-cloudbeds-app[.]vercel[.]app
- reservation-system-cloudbeds[.]vercel[.]app
- dashboard-cloudbeds-sign[.]vercel[.]app
- view-dashboard-lodge[.]vercel[.]app
- pms-cloud-beds[.]vercel[.]app
- siginin-dashboard-app[.]vercel[.]app
- cloudbeds-app[.]vercel[.]app
- cloudbeds-reservatiob-signin[.]vercel[.]app
- cloudbeds-verification-manager[.]vercel[.]app
- cloudbeds-verification[.]vercel[.]app
- cloudbeds-service-page[.]vercel[.]app
- signin-cloudbeds-dashboard[.]vercel[.]app
- cloudbeds-mensaje-de-bienvenida[.]vercel[.]app
- app-cloudbeds-online[.]vercel[.]app
- cloudbeds-reservetion-dashboard[.]vercel[.]app
- extranet-cloudbeds-okto[.]vercel[.]app
Dominios relacionados con Expedia:
- expedia-group-reservation-view[.]vercel[.]app
- hotel-reservation-expedia[.]vercel[.]app
- partner-central-okta[.]vercel[.]app
- preferences-dashboard[.]vercel[.]app
- expedia-new-signin[.]vercel[.]app
- expedia-partner-cental-reservation[.]vercel[.]app
- extranet-expedia-group-central[.]vercel[.]app
- expedia-group[.]vercel[.]app
- expedia-customer-reservetion[.]vercel[.]app
- expedia-proccess-signin[.]vercel[.]app
- expedia-lodge-dashboard[.]vercel[.]app
- expedia-central-approve[.]vercel[.]app
- partner-expedia-pro[.]vercel[.]app
- expedia-group-service[.]vercel[.]app
- access-expedia-verification[.]vercel[.]app
- expedia-payment-verification[.]vercel[.]app
- expedia-payment-validation[.]vercel[.]app
- expedia-service-app[.]vercel[.]app
- expedia-customer-application[.]vercel[.]app
- v0-reservation-expedia-partner[.]vercel[.]app
Asuntos habituales:
- Asunto: NC 20241 - Confirme ahora: Realice un seguimiento adecuado de las comisiones
- Asunto: Alerta importante del sistema – Ref. n.º 8864560
- Asunto: Nuevo mensaje de un huésped – Ref.: 3779748
- Asunto: Reserva n.º XP-2232111 pendiente
- Asunto: Actualización del sistema de socios — registro n.º 3284891
- Reenvío: Mensaje pendiente en Partner Central
- Asunto: Reserva de un huésped recibida a través de Cloudbeds
- Reenvío: Notificación de Cloudbeds – Habitación doble Premium reservada
Recomendaciones
Formación en sensibilización de los usuarios
- Formar al personal del sector hotelero para que sepa identificar los correos electrónicos fraudulentos relacionados con reservas y comisiones
- Realice simulaciones de phishing específicas utilizando escenarios relacionados con el sector hotelero
- Forme a los empleados para que comprueben las alertas urgentes del sistema a través de los canales oficiales de la plataforma antes de hacer clic en los enlaces
Aplicación de la política de seguridad
- Implemente la autenticación multifactorial en todas las cuentas de la plataforma de gestión hotelera (siempre que sea posible)
- Establecer procedimientos de verificación para las alertas del sistema recibidas por correo electrónico
- Establezca políticas que exijan al personal acceder a las plataformas de Expedia y Cloudbeds directamente a través de direcciones URL guardadas en los marcadores, en lugar de enlaces de correo electrónico
Detección proactiva de amenazas
- Revise los registros de URL para detectar intentos de acceso a dominios alojados en Vercel que contengan palabras clave relacionadas con la hostelería
- Revise los registros de correo electrónico en busca de mensajes que contengan los patrones de asunto identificados
- Revise los intentos de autenticación en las plataformas de hostelería procedentes de ubicaciones geográficas inusuales