Conseguir mesa en alguno de los restaurantes con mayor lista de espera del mundo se ha convertido en un bien tan escaso que ha acabado dando lugar a una nueva modalidad de fraude. Establecimientos como Disfrutar, El Celler de Can Roca, DiverXO o Etxebarri han alertado de la proliferación de páginas web que suplantan su identidad para vender reservas inexistentes. A simple vista resultan prácticamente idénticas a las originales, pero esconden un único objetivo: cobrar por adelantado a clientes convencidos de que, por fin, han tenido la suerte de conseguir una de esas mesas que suelen agotarse en cuestión de minutos.Mientras que las páginas oficiales muestran calendarios completos o largas listas de espera, las fraudulentas ofrecen una disponibilidad sorprendente. Lo explica Eduard Xatruch, uno de los chefs de Disfrutar, en Barcelona, que ya ha sufrido este tipo de suplantaciones en varias ocasiones: “En nuestra web oficial apenas hay fechas disponibles, mientras que en las falsas aparecen un montón de mesas libres. La gente piensa que por fin ha tenido suerte y hace la reserva inmediatamente. Yo mismo podría caer: si no conoces bien nuestra página, es difícil apreciar las diferencias”.Según explica Xatruch, hacer la reserva es sencillo: el usuario selecciona fecha, introduce sus datos y, para hacerla efectiva, se le solicita una transferencia bancaria o el pago por adelantado”. En todos los casos, el modus operandi ha sido el mismo. “Registran un dominio muy parecido al nuestro –por ejemplo, disfrutarrestaurant.info o nombres similares, nada sospechosos–, hacen campañas para posicionarlo muy bien en Google y copian prácticamente toda nuestra web. Es fácil caer en la trampa”.El modus operandi de los ciberdelincuentes es la suplantación de websLa clave, según explica Lorenzo Martínez, perito forense informático y director de la empresa de ciberseguridad Securízame, es que los restaurantes no han sido hackeados: “No podemos hablar de hackeo porque no se ha vulnerado ningún sistema. Lo que hace el ciberdelincuente es tan simple como crear una página con un nombre de dominio muy parecido al original y pagar campañas en Google para que aparezca incluso antes que la web auténtica. Los restaurantes no han hecho nada mal ni tienen un problema de seguridad: simplemente están siendo víctimas de una suplantación”.El experto señala que este tipo de ataques resulta especialmente eficaz porque juega con la urgencia del consumidor. No es casualidad que los ciberdelincuentes hayan puesto el foco en restaurantes en los que conseguir mesa requiere paciencia, suerte y, en ocasiones, varios meses de espera. “Si alguien lleva meses intentando conseguir una reserva y de repente encuentra disponibilidad, baja la guardia y acaba realizando una transferencia o facilitando los datos de la tarjeta”.En Disfrutar han detectado incluso variantes más sofisticadas. “Ha habido casos de personas apuntadas en nuestra lista de espera que han recibido un mensaje ofreciéndoles una reserva a cambio de un pago. Esto ha ocurrido de forma mucho más puntual, pero demuestra hasta qué punto intentan aprovechar cualquier circunstancia”, explica Xatruch, quien lamenta no solo “que alguien intente lucrarse aprovechándose de nuestro trabajo y de la ilusión de personas que llevaban mucho tiempo intentando venir al restaurante”, aunque en la mayoría de los casos le consta que acaban recuperando el dinero a través de su entidad bancaria.En el caso de Disfrutar, cuando el restaurante detecta una nueva web fraudulenta, activa un protocolo que combina medidas técnicas, legales y de comunicación. “En primer lugar, se contacta con la empresa registradora del dominio para comunicar que se está haciendo un uso fraudulento de la marca y también con la empresa de hosting que aloja la página. De esta manera conseguimos que la cierren porque es una actividad ilegal. Paralelamente presentamos una denuncia ante los Mossos d'Esquadra y fijamos una alerta en nuestras redes sociales recordando cuál es el único canal oficial de reservas”, explica.A la hora de seguir el rastro del dinero, “la metodología consiste en identificar la cuenta donde se ha recibido la transferencia y averiguar quién figura como titular”, explica Martínez. El problema es que, con frecuencia, esas cuentas pertenecen a las llamadas mulas bancarias, personas que ceden sus cuentas a organizaciones criminales a cambio de una pequeña comisión o que incluso desconocen el alcance del fraude en el que están participando.Desde 2025 las entidades financieras españolas avisan al usuario cuando el nombre del beneficiario no coincide con el titular de la cuentaDesde octubre de 2025, además, las entidades financieras españolas incorporan una comprobación adicional que avisa al usuario cuando el nombre del beneficiario no coincide con el titular de la cuenta, una medida que ha reducido parte de este tipo de fraudes. Aun así, Martínez insiste en que la principal protección sigue siendo comprobar la dirección web antes de introducir cualquier dato bancario. “Lo único que pueden hacer los restaurantes es advertir constantemente de cuál es su canal oficial de reservas. El resto depende de que el usuario se fije bien”, señala.Según el experto, el problema es que una vez se comienza el rastreo digital para dar con los ciberdelincuentes casi siempre se encuentra en primer lugar a la llamada mula. “En muchos casos son personas en riesgo de exclusión social o con adicciones que ni siquiera saben bien a quién están vendiendo su cuenta”, explica. Dar con lo que Martínez llama “el amo del calabozo” es más complicado. “Los cuerpos y fuerzas de seguridad del estado tendrían que perseguir a los artífices de la estafa y no tanto a las mulas. En ocasiones el dinero da tantas vueltas que acaba llegando a España de nuevo mermado y lavadito”, explica el experto, quien señala que perseguir a los ciberdelincuentes es más complicado si el dinero acaba saliendo del país.Lee tambiénSegún explican los abogados penalistas de BP Abogados, especializados en derecho penal, estas conductas pueden constituir un delito de estafa informática y, en función del caso, sumar otros como la suplantación de identidad, el acceso ilícito a sistemas o el blanqueo de capitales. Las mulas tampoco quedan al margen: aunque no hayan creado las páginas fraudulentas, pueden responder penalmente por colaborar en el movimiento de fondos de origen ilícito y afrontar también responsabilidades civiles por las cantidades defraudadas. Desde BP aseguran que si bien “no existe una garantía absoluta de recuperar el dinero, sí hay posibilidades reales si se actúa con rapidez”. Para ello, es imprescindible comunicarlo al banco lo antes posible, denunciarlo rápidamente ante las autoridades y, si es posible, emprender acciones penales con personación como acusación particular.