Alerta de seguridad: Campaña de phishing dirigida a proveedores de hotelería

Información general

Cloudbeds está haciendo seguimiento a una campaña de phishing dirigida a todo tipo de empresas en la industria hotelera. Si bien esos ataques han sido reportados por numerosos proveedores de tecnología hotelera, algunos clientes de Cloudbeds podrían estar entre los objetivos.

Estamos brindando esta información para asegurarnos que tienes completa visibilidad y puedes tomar medidas preventivas de inmediato, como capacitar a tu equipo sobre señales específicas de alerta. El equipo de seguridad de Cloudbeds está haciendo seguimiento y respondiendo de manera proactiva a esta amenaza para proteger nuestra plataforma y nuestros clientes y sus huéspedes.

Este artículo incluye:

• Respuestas a preguntas comunes sobre la campaña y su impacto.
• Apéndice de indicadores de brechas de seguridad (IOC) para que los equipos técnicos o de seguridad puedan identificar y bloquear actividad maliciosa en tu cuenta.

Preguntas frecuentes

¿Qué está pasando y por qué es importante?

Hemos notado que actores maliciosos crean sitios web fraudulentos de inicio de sesión idénticos al sitio web legitimo de inicio de sesión de Cloudbeds. Estos sitios web falsos se anuncian en Google Ads y otros canales para engañar al personal de hoteles y hacer que ingresen sus credenciales. Cuando un usuario ingresa su contraseña y código de autenticación multifactor en un sitio web falso, los atacantes usan esa información para:

1. Iniciar sesión en la cuenta de Cloudbeds usando la información robada
2. Acceder y exportar datos de reservas, incluyendo nombres de huéspedes, información de contacto y datos de la reserva
3. Enviar mensajes de phishing a huéspedes usando la mensajería de Cloudbeds Guest Experience o herramientas estándar de correo para que los mensajes parezcan legítimos
4. Contactar directamente a los huéspedes vía WhatsApp o correo con solicitudes fraudulentas de pago, a menudo creando urgencia sobre pagos pendientes o confirmados de reservas y dirigiendo a esas personas a enlaces maliciosos diseñados para robar su información de pago.

¿Cuáles URL hacen parte de la campaña de phishing?

Las URL maliciosas que se usan en esta campaña pueden variar y cambiar con frecuencia. Los sitios web falsos de inicios de sesión están diseñados para que se vean idénticos al sitio web legitimo de inicio de sesión de Cloudbeds. Con frecuencia, la URL es la única diferencia visible.

Nuestro partner de protección de marca monitorea y trabaja continuamente para desarticular esos dominios en cuanto son identificados. Para los clientes con equipos técnicos, se incluye una lista de URL maliciosos en el apéndice, pero es importante recordar que nuevas URL pueden aparecer con el tiempo.

A modo de precaución, recomendamos guardar en los marcadores de tu navegador el sitio web oficial de inicio de sesión de Cloudbeds (signin.cloudbeds.com) y animar a tu equipo a siempre acceder Cloudbeds usando el enlace guardado, en vez de haciendo clic en anuncios, resultados de búsquedas o enlaces en correos o mensajes.

¿Estaba funcionando la autenticación multifactor (MFA) en las cuentas afectadas?

Si. Todas las cuentas afectadas que hemos investigado estaban usando MFA basada en autenticación (códigos de uso único por tiempo limitado). Sin embargo, los códigos de autenticación no son a prueba de suplantación de identidad. Los atacantes los pueden interceptar en tiempo real si los usuarios los ingresan en el sitio web fraudulento de inicio de sesión y reutilizarlos de manera inmediata para acceder a la cuenta legítima.

Para proteger a tus usuarios, recomendamos encarecidamente cambiarse a métodos de MFA más protegidos contra ataques maliciosos:

1. Passkeys y llaves de seguridad: Autenticación física o mediante dispositivos que no se puede suplantar.
2. Cómo configurar el método Okta Verify (MFA): Verificación vinculada al dispositivo que ofrece una protección más sólida contra la interceptación de credenciales en tiempo real.

¿De qué maneras Cloudbeds detecta y responde a actividad maliciosa?

Proteger tu negocio y tus huéspedes es nuestra mayor prioridad compartida. Nuestro equipo de seguridad hace seguimiento y responde de manera proactiva a estas amenazas. Usamos distintos niveles de detección y protección diseñados para identificar actividad sospechosa lo antes posible y así limitar su posible impacto:

1. Análisis de riesgos de inicio de sesión, incluyendo la detección de ubicaciones inusuales, verificación de velocidad de viaje, identificación de nuevos dispositivos y calificación de reputación de la dirección IP para detectar y restringir intentos sospechosos de inicio de sesión.
2. Monitoreo de comportamiento que cierra automáticamente las sesiones que muestran patrones consistentes de uso indebido de la cuenta.
3. Detección integrada de fraude que bloquea correos y mensajes con URL o enlaces sospechosos.
4. Controles de dominios, que incluyen listas negras (blacklists) de sitios web maliciosos y listas blancas (whitelists) por cuenta, para poder controlar los dominios permitidos en la comunicación con los huéspedes.
5. Protección continua de marca para identificar y eliminar sitios web falsos de inicio de sesión y sitios web creados para la suplantación de identidad.

También trabajamos con las autoridades y proveedores de servicio relevantes para desarticular este tipo de amenazas.

¿Otros clientes de Cloudbeds han sido impactados por estos ataques?

Si. Esto hace parte de una campaña de ataques coordinados más amplia dirigida a la industria hotelera en todo el mundo. Los clientes que usan autenticación basada en MFA (códigos de uso único) han sido los más afectados.

¿Qué acciones a corto plazo podemos tomar para reducir el riesgo?

Recomendamos encarecidamente:

1. Usar MFA resistente al phishing: En la medida de lo posible, cambia tus usuarios a llaves de seguridad o al método Okta Verify. Las aplicaciones de autenticación con códigos por tiempo limitado son vulnerables al phishing en tiempo real. 

   Guardar en los marcadores del navegador la URL correcta de inicio de sesión: Usa siempre  https://signin.cloudbeds.com y evita el uso de motores de búsqueda para acceder al sitio web de inicio de sesión. Los actores maliciosos usan anuncios pagos de búsqueda para ubicar enlaces fraudulentos encima de los resultados legítimos.

2. Auditar las cuentas de tus usuarios:Borra las cuentas de usuarios que no están en uso. Restringe los privilegios de tus cuentas, sobre todo los de acceso y exportación de información personal, sólo para quienes realmente los necesitan. 
3. Revisar los permisos de exportación: En los ajustes de funciones de usuarios, restringe la opción Reserva – Exportar lista de reservas y el acceso a la Información personal de cualquier función que no la requiere.
4. Configurar tu lista blanca (whitelist) de dominios:Contacta al equipo de soporte de Cloudbeds para configurar tu lista blanca de dominios aprobados de Guest Experience y limitar las URL que se pueden incluir en la comunicación con tus huéspedes desde tu cuenta.
5. Capacitar a tu equipo: Asegúrate que todos tus usuarios puedan verificar que están en  https://signin.cloudbeds.com antes de usar sus credenciales y nunca iniciar sesión desde enlaces recibidos por correo o anuncios de motores de búsqueda.

¿Debo estar pendiente de otros ataques?

Algunos clientes han reportado correos maliciosos o sospechosos de remitentes desconocidos que intentan hacerse pasar por el equipo de Cloudbeds y otras plataformas de hotelería. De notar cualquier actividad inusual en tu cuenta de Cloudbeds, recomendamos buscar en tu bandeja de entrada mensajes inesperados o sospechosos.

Si recibes correos de phishing, reenvíalos a support@cloudbeds.com con el asunto Phishing para que nuestro equipo pueda examinar y desarticular dominios maliciosos.

Los huéspedes también pueden recibir mensajes de estafadores por WhatsApp y otros canales para hacerse pasar por el equipo de tu propiedad. Considera indicar de manera proactiva a tus huéspedes que tu propiedad nunca les solicitará verificación de pagos, datos de tarjetas o pagos urgentes por WhatsApp y otros enlaces externos.

De encontrar actividad sospechosa, repórtala inmediatamente al equipo de soporte de Cloudbeds (support@cloudbeds.com).

Apéndice: Indicadores de brechas de seguridad (IOC)

(Esta sección es opcional y para clientes con equipos técnicos o de seguridad)

Usa esta información para bloquear o monitorear actividad sospechosa siempre que sea posible. Reporta cualquier información relevante al equipo de soporte de Cloudbeds.

Direcciones de correo conocidas de phishing

Estas direcciones de correo han sido identificadas como fuentes de correos de phishing enviados a clientes de Cloudbeds y sus huéspedes:

1. contato@10138743.brevosend.com
2. support@kokazia.freshdesk.com
3. amatolucia@outlook.com

URL de phishing y dominios maliciosos

Estos son dominios maliciosos usados en campañas de phishing dirigidas a clientes de Cloudbeds. Recuerda que nuevas URL se crean con frecuencia. Esta lista está actualizada al 5 de febrero de 2026:

1. kokazia[.]freshdesk[.]com
2. 10138743[.]brevosend[.]com
3. terralsuites[.]com[.]ar

Direcciones IP maliciosas

Estas direcciones IP han sido confirmadas como infraestructura que usan los atacantes en incidentes de brechas de seguridad:

1. 92.243.64.222
2. 51.195.242.229

Indicadores de estafas por WhatsApp

Los huéspedes pueden recibir mensajes por WhatsApp de números desconocidos que se hacen pasar por tu propiedad y solicitan pagos urgentes. Algunas características comunes son:

1. Solicitudes de confirmar la reserva mediante enlaces de pago externos
2. Presión para actuar de inmediato con el riesgo de cancelar su reserva
3. Enlaces a dominios que no pertenecen a tu propiedad o a Cloudbeds

Dominios fraudulentos usados en estafas a huéspedes

Estos dominios han sido usados en comunicaciones maliciosas enviadas a huéspedes:

1. hxxp://cloudbeds-property-manager-signon.bolt.host
2. hxxp://cloudbeds-online.com
3. hxxp://ddk.joinposter.com
4. hxxp://cloudbeds-property-manager-signon.bolt.host
5. hxxp://corona-doner.joinposter.com
6. hxxp://signin.clauldbeds.com
7. hxxp://cloud-beds.app/
8. hxxp://cloudbeds-app.com/