Mientras en México, Brasil y Argentina se ha detectado un aumento de lo que se considera «fraude amistoso», que consiste en cargar pequeños importes no autorizados a las compras que se realizan online, en China, EEUU y Francia se están registrando métodos mucho más sofisticados, que incluyen el robo de datos sensibles a los perjudicados.

A día de hoy, IATA ha confirmado que el valor medio de las estafas que se registran a la hora de adquirir billetes de avión, ya supera el valor medio de las compras legales que se realizan a diario.

Mientras que el pasajero medio se gasta 606 dólares en su tarifa aérea, las compras ilegales que intentan realizar los piratas informáticos en la red tienen un valor medio de 1.930 dólares, lo cual supone un importante perjuicio para todas las compañías aéreas.

Ataque a los planes de fidelización de las aerolíneas

Los piratas informáticos han descubierto un auténtico filón en los planes de fidelización que las compañías aéreas ofrecen a sus clientes, generalmente a través de sistemas de puntos o millas.

Aunque el 60% de los fraudes detectados son realizados a través de tarjetas de crédito robadas o falsas, se están incrementando muy notablemente los casos de robo de datos a los pasajeros.

Para ello, los piratas suelen utilizar el sistema de suplantar la personalidad de las aerolíneas (Phising) enviando cientos de miles de correos en los que se hace referencia a falsas promociones, reembolsos de billetes, y otras excusas para conseguir que los pasajeros aporten información sensible.

Una vez se han conseguido de manera ilegal los datos necesarios para entrar en la cuenta del pasajero, los hackers llevan a cabo las siguientes operaciones:

Compra de puntos y millas: se realiza a través de tarjetas robadas o falsas.

Robo de la cuenta del pasajero: se compran billetes o se utilizan los datos bancarios de manera ilegal.

Venta ilegal: se compran billetes con tarjetas fraudulentas y se venden a un tercero.

«Double-Dipping»: es el nombre que se le ha dado a la actividad ilegal que consiste en combinar de manera fraudulenta distintas cuentas de fidelización para comprar billetes.

Uso interno indebido: en este caso, son los propios empleados de la aerolínea los que utilizan sus cuentas de fidelización de manera ilegal.

El mayor problema que existe en el caso de producirse un acceso ilegal a la cuenta de fidelización de un pasajero, es que este no se suele percartar de lo ocurrido hasta mucho tiempo después.

Todas las operaciones fraudulentas se suelen realizar teniendo en cuenta el horario de trabajo de los centros de atención al cliente nacionales de las compañías aéreas, aprovechando el momento en el que existe un menor número de trabajadores controlando los movimientos que se ejecutan online.

Tipos de estafas que se están realizando online

Los casos más habituales sobre los que ha advertido IATA son los siguientes:

Compras fraudulentas

Corresponden al tipo de operaciones denominadas CNP, por sus siglas en inglés Card No Present (sin la presencia de la tarjeta), y se trata normalmente de movimientos que se realizan con tarjetas bancarias que han sido sustraídas a sus propietarios.

Los hackers adquieren billetes para vuelos que se van a operar en un corto espacio de tiempo, con el fin de minimizar el riesgo de que la compañía pueda detectar el fraude.

En la mayor parte de los casos, los piratas no utilizan ellos mismos estos billetes, sino que proceden a ponerlos a la venta por importes muy reducidos a través de determinadas páginas web.

Acceso a las cuentas de fidelización

Una vez han podido acceder a la cuenta de fidelización del pasajero, los hackers realizan múltiples operaciones ilegales que van desde la compra de billetes para ponerlos posteriormente a la venta, al canje de millas o puntos por otro tipo de servicios, como alquiler de coches, o de habitaciones de hotel.

Como comentábamos anteriormente, el perjudicado no suele detectar este tipo de operaciones al momento, por lo que pueden pasar totalmente desapercibidas.

Falsas webs de venta online

Esta actividad se conoce como el «sistema de triangulación», ya que los falsos agentes de viajes compran los billetes a una agencia autorizada y legal, pero utilizando para ello tarjetas bancarias robadas.

Posteriormente, venden a sus clientes los billetes legales a precios muy reducidos.

Fraudes en vuelo

En este caso, se utilizan las tarjetas bancarias falsas o robadas para adquirir múltiples productos durante un vuelo, los cuales se ponen posteriormente a la venta online.

En muchos casos, los TPV que se utilizan a bordo de las cabinas de los aviones están funcionando fuera de línea, lo cual favorece este tipo de fraudes.

Fraudes con el equipaje

Se trata de una actividad más sofisticada, en la que se aseguran supuestos bienes de valor antes de proceder a su facturación, para posteriormente reclamar daños en los mismos y solicitar la indemnización correspondiente a la aerolínea.

En muchos casos, también se procede con anterioridad a contratar diversos tipos de seguros, utilizando para ellos falsos recibos o facturas que demostrarían el supuesto valor de los bienes asegurados.

IATA ha querido hacer hincapié sobre este tipo de incidencias, que afectan por igual tanto a pasajeros como a compañías aéreas, solicitando un esfuerzo conjunto para poder reducir el número de casos que se están registrando.

En el informe emitido por IATA se indica que:

«La autenticación es la primera defensa en términos de ciberseguridad, pero algunas compañías todavía se siguen debatiendo entre ofrecer una experiencia online a sus clientes sin que estos tengan que superar demasiados obstáculos, frente a la necesidad de incrementar el número de pasos necesarios para poder registrarse en su web».

También se ha querido advertir sobre el incremento de intentos para acceder a las claves de acceso que los empleados tienen en los programas de gestión de sus respectivas compañías, ya que a través de ellos es posible conseguir información sensible de los clientes.

Desde Turama hemos advertido en múltiples ocasiones sobre este tipo de prácticas, con el fin de mentalizar a todos los usuarios ante los graves riesgos que suponen.