Los expertos en seguridad afirman que en el último año se produjo un aumento del pirateo de cuentas de fidelización de hoteles y aerolíneas, impulsado por dos factores: la mejora de las protecciones contra el fraude con tarjetas de crédito llevó a los delincuentes a buscar objetivos más fáciles, y las redes de ciberdelincuentes estuvieron vendiendo herramientas para llevar a cabo los ataques, lo que permite a personas sin conocimientos de codificación acceder a las cuentas.
El paso del fraude con tarjetas de crédito a la usurpación de cuentas de fidelización tomó por sorpresa a las compañías, afirma Christopher Staab, cofundador de la Loyalty Security Alliance, un grupo del sector de los viajes. “No tienen las herramientas, los procesos ni el personal que entienda esto. Esta semana, las líneas aereas iniciaron las reuniones iniciales de un nuevo grupo de trabajo para coordinar una respuesta”, agregó.
Con miles de millones de dólares en puntos entrando y saliendo de los programas de millas cada año, "son esencialmente como cuentas bancarias", dijo Nik Laming, un consultor de programas de fidelización con sede en Singapur para aerolíneas y minoristas. Pero los programas de fidelización "no están obligados a proteger estas cuentas como un banco" aclaró.
Durante años, las cuentas de fidelización fueron pirateadas en menor volumen mediante técnicas como el phishing y el malware que roba las contraseñas. Sin embargo, ahora los ciberdelincuentes están utilizando bases de datos de credenciales de inicio de sesión expuestas en violaciones de sitios web y empleando bots para probarlas en masa en cuentas de fidelización de las compañías aéreas y hoteles. Están aprovechando uno de los errores de seguridad más comunes que comete la gente en Internet: usar la misma contraseña en varios sitios, explicó Kevin Gosschalk, fundador y director general de la empresa de ciberseguridad Arkose Labs, que protege a las empresas contra el fraude en línea.
Entre el cuarto trimestre de 2023 y el primero de 2024, los ataques de bots a cuentas de compañías aéreas protegidas por Arkose Labs aumentaron un 166%, según la empresa. Entre los clientes, con sede en San Mateo, California, se encuentran Singapore Airlines y la aerolínea japonesa de bajo costo Zipair, así como otras que no pudieron ser reveladas. (ninguna de las dos respondieron a una solicitud de comentarios).
Se produjo un aumento de entre el 30% y el 40% de las cuentas pirateadas con éxito, estima Staab, basándose en conversaciones con miembros de su grupo industrial.
Las herramientas para realizar los llamados ataques de relleno de credenciales están siendo vendidas por ciberdelincuentes en Vietnam, China y Rusia, señaló Gosschalk, quien también mencionó que están proporcionando soporte técnico a los compradores. "Ya no es necesario ser desarrollador", comentó. “La facilidad para cometer este delito aumentó significativamente gracias a la infraestructura disponible para ejecutar estos ataques”, dijo.
Los ciberdelincuentes que utilizan estas herramientas están vendiendo el acceso a las cuentas, a menudo a través de grupos en Telegram y WhatsApp, indicando la cantidad de puntos disponibles. Estas suelen venderse por un 80% del valor de los puntos o menos, explicó Gosschalk. Algunos vendedores ofrecen garantías de acceso por un tiempo mínimo, asegurando que si la seguridad de la cuenta los bloquea antes de ese plazo, los compradores recibirán una cuenta de valor similar o se les devolverá el dinero.
Los compradores sacan provecho canjeando los puntos por tarjetas regalo o comprando pasajes de avión. Algunas de las cuentas pirateadas se utilizan para vender al público pasajes de avión con grandes descuentos en sitios web que parecen agencias de viajes legítimas, dijo Staab.
Aproximadamente el 1% de los canjes de puntos de líneas aéreas son fraudulentos, calcula Staab, y las pérdidas totales ascienden a cerca del 3% si se incluyen los costos asociados, como el tiempo del personal y el reembolso de los puntos a algunos clientes. La Asociación Internacional de Transporte Aéreo estimó en 2020 que el sector perdía más de 1.000 millones de dólares al año por fraude en los pagos.
Staab cree que el volumen total de fraude no aumentó, sino que pasó del fraude con tarjetas de crédito a la apropiación de cuentas.
Las cuentas de fidelización se convirtieron en objetivos más valiosos gracias al éxito de las aerolíneas en promocionar tarjetas de crédito de marca compartida que otorgan millas aéreas como recompensa por su uso. Delta Air Lines fue líder en este aspecto, y según los analistas de TD Cowen, se espera que este año gane alrededor de 7.000 millones de dólares de su asociación con la tarjeta American Express, en comparación con los 1.000 millones de 2009. Delta cuenta con 25 millones de socios SkyMiles activos. Un portavoz de Delta, Drake Castaneda, afirmó no tener conocimiento de un aumento en el pirateo de cuentas de recompensas.
Aproximadamente el 70% de los puntos obtenidos por los clientes de las líneas aéreas Delta, American y United proceden ahora de recompensas de tarjetas de crédito y otros socios, según un informe de IdeaWorks. Las cadenas hoteleras también se subieron al tren de las tarjetas de crédito.
Pero las medidas de seguridad no estuvieron a la altura: la mayoría de las cadenas hoteleras y aéreas no exigen la autenticación multifactor porque se resisten a añadir fricción al proceso de transacción para los clientes, dijo Laming.
Eso convierte a estas cuentas en un objetivo más fácil. En comparación con el pirateo de una cuenta bancaria, también existe un riesgo mucho menor de cargos penales, dijo Staab. Una razón: es más difícil para los fiscales conectar un gran número de hackeos a un único sospechoso, necesario para demostrar una pérdida de valor en dólares lo suficientemente alta como para justificar dedicar tiempo al caso, agregó.
En un proceso poco habitual, en 2021, cinco hombres se declararon culpables en un tribunal federal de Texas de cargos de fraude por el robo de millones de millas aéreas de cuentas pirateadas y la venta de billetes comprados con ellas.
Este tipo de piratería puede ser una plataforma de lanzamiento hacia delitos más graves, dijo Gosschalk. Arkose siguió la pista de algunos hackers que empezaron en la adolescencia apoderándose de cuentas de videojuegos para robar monedas virtuales, y luego utilizaron las habilidades que desarrollaron para ir tras cuentas de hoteles y aerolíneas.
"De entrada es un poco una droga en el sentido de que es un delito bastante fácil de cometer", dijo Gosschalk. Los piratas informáticos pueden pasar al blanqueo de dinero, al ransomware y a los ataques de robo de credenciales en cuentas bancarias, aclaró.
Tres cadenas hoteleras y cuatro compañías aéreas contactadas por Forbes no quisieron confirmar si estaban experimentando un aumento en el pirateo de cuentas de fidelización. Sin embargo, Staab señaló que, en privado, la preocupación aumentó. Muchos están implementando medidas de autenticación multifactor, especialmente para canjes de puntos por encima de un determinado valor, como respuesta a esta amenaza creciente, dijo Staab.
Deneen DeFiore, jefa de seguridad en línea de United Airlines, mencionó en una presentación durante una conferencia el mes pasado que la aerolínea está dejando de utilizar preguntas de seguridad. Al igual que las contraseñas, estas preguntas suelen ser vulnerables y a menudo se reutilizan. Según Gosschalk, la compañía está explorando nuevas formas de autenticación de cuentas para mejorar la seguridad.
DeFiore y United no respondieron a las preguntas de Forbes.
También se están empezando a utilizar herramientas basadas en IA que pueden detectar anomalías y patrones en las transacciones y activar alertas, dijo Laming.
En última instancia, educar a la gente para que deje de reutilizar sus contraseñas tendría el mayor impacto, dijo.
"Puede poner todos los controles que quiera, pero si los usuarios utilizan las mismas contraseñas... entonces le resultará muy difícil combatirlo", agregó.
