Número de atención de familiares de las personas desaparecidas por la DANA: 900 365 112
Forbes Travel

Las millas aéreas y los puntos de hoteles: el nuevo botín de los piratas informáticos

Los ciberdelincuentes están utilizando bots para probar contraseñas comprometidas, ayudándolos a limpiar cuentas que contienen recompensas por valor de millones de dólares.

La mayoría de las personas no revisan sus cuentas de puntos de hotel o aerolínea con mucha frecuencia, y eso las convierte en un gran objetivo para los ladrones. Los expertos en seguridad dicen que ha habido un aumento en la piratería de cuentas de fidelidad de hoteles y aerolíneas durante el último año, impulsado por dos factores: mejores protecciones contra el fraude con tarjetas de crédito significa que los delincuentes buscan objetivos más fáciles, y las redes de delitos cibernéticos han estado vendiendo herramientas para llevar a cabo ataques. , permitiendo a personas sin conocimientos de codificación acceder a cuentas.

El paso del fraude con tarjetas de crédito a la apropiación de cuentas de fidelidad ha cogido a las aerolíneas “por sorpresa”, explica Christopher Staab, cofundador de Loyalty Security Alliance, un grupo de la industria de viajes. «No tienen las herramientas, los procesos ni la gente que entienda esto». Varias aerolíneas han celebrado reuniones iniciales esta semana de un nuevo grupo de trabajo para coordinar una respuesta, dijo.

Con miles de millones de dólares en puntos entrando y saliendo de los programas de millas cada año, «son esencialmente como cuentas bancarias», apunta Nik Laming, consultor de programas de lealtad para aerolíneas y minoristas con sede en Singapur. Pero los programas de fidelización «no están obligados a proteger estas cuentas como un banco».

Las cuentas de fidelización han sido pirateadas en volúmenes menores durante años mediante técnicas como phishing y malware que roba contraseñas. Pero ahora, los ciberdelincuentes están tomando bases de datos de credenciales de inicio de sesión expuestas en violaciones de sitios web y utilizando bots para probarlas en masa en cuentas de fidelidad de aerolíneas y hoteles. Están aprovechando uno de los errores de seguridad más comunes que la gente comete en línea: usar la misma contraseña en varios lugares, dice Kevin Gosschalk, fundador y director ejecutivo de la firma de ciberseguridad Arkose Labs, que protege a las empresas contra el fraude en línea.

Entre el cuarto trimestre de 2023 y el primer trimestre de 2024, los ataques de bots a las cuentas de aerolíneas que Arkose protege aumentaron un 166%, asegura la compañía. Los clientes de la compañía con sede en San Mateo, California, incluyen Singapore Airlines y la aerolínea japonesa de descuento Zipair, así como otras aerolíneas que dijo que no puede revelar. (Las dos aerolíneas no respondieron a una solicitud de comentarios). Ha habido un aumento del 30% al 40% en las cuentas pirateadas con éxito, estima Staab, basándose en discusiones con miembros de su grupo industrial.

Los piratas están vendiendo herramientas para llevar a cabo los llamados ataques de relleno de credenciales desde Vietnam, China y Rusia, apunta Gosschalk, y están ofreciendo soporte técnico a los compradores. «Ya no es necesario ser desarrollador», añade Gosschalk. «La accesibilidad para cometer el delito se ha reducido mucho gracias a que esta infraestructura ahora está disponible para realizar estos ataques».

Los ciberdelincuentes que utilizan esas herramientas venden acceso a las cuentas que han comprometido, a menudo a través de grupos de Telegram y WhatsApp, con la cantidad de puntos indicada. Las cuentas suelen tener un precio del 80% del valor de los puntos o menos, explica Gosschalk. Algunas ofertas garantizan que el comprador tendrá acceso durante un número mínimo de minutos. Si la seguridad de la cuenta los elimina antes de esa fecha, obtendrán un sustituto de valor similar o les devolverán su dinero.

Los compradores retiran dinero canjeando los puntos como tarjetas de regalo o comprando billetes de avión. Algunas de las cuentas pirateadas se utilizan para vender al público billetes de avión con grandes descuentos en sitios web que parecen agencias de viajes legítimas, dice Staab.

Aproximadamente el 1% de los canjes de puntos de las aerolíneas son fraudulentos, estima Staab, con pérdidas totales que ascienden a alrededor del 3% cuando se incluyen los costos asociados, incluido el tiempo del personal y el reembolso de puntos a algunos clientes. La Asociación Internacional de Transporte Aéreo estimó en 2020 que la industria perdió más de mil millones de dólares al año debido al fraude de pagos. Staab cree que el volumen total de fraude no ha aumentado, pero ha pasado del fraude con tarjetas de crédito a la apropiación de cuentas.

Las cuentas de fidelidad se han convertido en objetivos más valiosos gracias al éxito de las aerolíneas al vender tarjetas de crédito de marca compartida que otorgan a los clientes millas aéreas como recompensa por usarlas. El líder ha sido Delta Air Lines, que debería ganar alrededor de 7 mil millones de dólares con su asociación con la tarjeta American Express este año, según analistas de TD Cowen, frente a 1 mil millones de dólares en 2009. Delta tiene 25 millones de miembros activos de SkyMiles. Un portavoz de Delta, Drake Castaneda, dice que no estaba al tanto de un aumento en las cuentas de recompensas pirateadas.

Aproximadamente el 70% de los puntos obtenidos por los clientes de las aerolíneas Delta, American y United ahora provienen de recompensas de tarjetas de crédito y otros socios, según un informe de IdeaWorks. Las cadenas hoteleras también se han subido al tren de las tarjetas de crédito.

Pero las medidas de seguridad de las aerolíneas no han seguido el ritmo: la mayoría de las cadenas de hoteles y aerolíneas no requieren autenticación multifactor porque se resisten a agregar fricción al proceso de transacción de los clientes, dijo Laming. Eso hace que estas cuentas sean un objetivo más fácil. En comparación con hackear una cuenta bancaria, también existe un riesgo mucho menor de cargos criminales, dijo Staab. Una razón: es más difícil para los fiscales conectar una gran cantidad de ataques a un solo sospechoso, lo que es necesario para demostrar una pérdida de valor en dólares lo suficientemente alta como para justificar dedicar tiempo al caso.

En un proceso poco común, en 2021, cinco hombres se declararon culpables en un tribunal federal de Texas de cargos de fraude por el robo de millones de millas aéreas de cuentas pirateadas y la venta de boletos comprados con ellas. Este tipo de piratería puede ser una plataforma de lanzamiento para delitos más graves, afirma Gosschalk. Arkose ha rastreado a algunos piratas informáticos que comenzaron en su adolescencia apoderándose de cuentas de videojuegos para robar moneda virtual, y luego utilizaron las habilidades que desarrollaron para perseguir cuentas de hoteles y aerolíneas.

«Es un delito bastante fácil de cometer», dijo Gosschalk. Los piratas informáticos pueden pasar al lavado de dinero, el ransomware y los ataques de relleno de credenciales en cuentas bancarias.

Tres cadenas hoteleras y cuatro aerolíneas contactadas por Forbes se han negado a decir si estaban experimentando un aumento en el pirateo de cuentas de fidelidad. Pero detrás de escena, Staab dice que ha habido una creciente preocupación. Muchos hoteles y aerolíneas están tomando medidas para exigir alguna forma de autenticación multifactor, por ejemplo, en el caso de canjes de puntos por encima de cierto valor, asegura Staab.

El jefe de seguridad en línea de United Airlines, Deneen DeFiore, ha dicho en una presentación en una conferencia el mes pasado que la aerolínea se estaba alejando de las cuestiones de seguridad, que, al igual que las contraseñas, se han filtrado y a menudo se reutilizan, y está buscando nuevas formas de cuenta. autenticación por completo, según Gosschalk.

DeFiore y United no han respondido a las preguntas de Forbes.

También se están utilizando herramientas habilitadas para IA que pueden detectar anomalías y patrones en las transacciones y activar alertas, explica Laming.

En última instancia, educar a las personas para que dejen de reciclar sus contraseñas tendría el mayor impacto, afirma. «Puedes implementar todos los controles que quieras, pero si el miembro usa las mismas credenciales… entonces te resultará muy difícil combatirlo».