La mayoría de las personas no revisan sus cuentas de puntos de hoteles o aerolíneas con mucha frecuencia, lo que las convierte en un blanco fácil para los ladrones.
Los expertos en seguridad dicen que ha habido un aumento en el hackeo de cuentas de fidelidad de hoteles y aerolíneas durante el año pasado, impulsado por dos factores: mejores protecciones contra el fraude con tarjetas de crédito significa que los criminales están buscando objetivos más fáciles, y las redes de delitos cibernéticos han estado vendiendo herramientas para llevar a cabo ataques, lo que permite a personas sin habilidades de codificación ingresar a las cuentas.
El cambio del fraude con tarjetas de crédito a la apropiación de cuentas de fidelidad ha pillado a las aerolíneas “desprevenidas”, dijo Christopher Staab, cofundador de la Loyalty Security Alliance, un grupo de la industria de viajes. “No tienen las herramientas, los procesos, la gente que entiende esto”. Las aerolíneas celebraron reuniones iniciales esta semana de un nuevo grupo de trabajo para coordinar una respuesta, dijo.
Con miles de millones de dólares en puntos que entran y salen de los programas de millas cada año, “son básicamente como cuentas bancarias”, dijo Nik Laming, un consultor de programas de fidelización para aerolíneas y minoristas con sede en Singapur. Pero los programas de fidelización “no están obligados a proteger estas cuentas como un banco”.
Durante años, las cuentas de fidelidad han sido objeto de ataques informáticos en menor medida mediante técnicas como el phishing y el malware que roba contraseñas. Pero ahora, los cibercriminales están tomando bases de datos de credenciales de inicio de sesión expuestas en infracciones de sitios web y utilizando bots para probarlas en masa en cuentas de fidelidad de aerolíneas y hoteles. Están aprovechándose de uno de los errores de seguridad más comunes que la gente comete en línea: usar la misma contraseña en varios lugares, dijo Kevin Gosschalk, fundador y director ejecutivo de la empresa de ciberseguridad Arkose Labs, que protege a las empresas contra el fraude en línea.
Entre el cuarto trimestre de 2023 y el primer trimestre de 2024, los ataques de bots a las cuentas de aerolíneas protegidas por Arkose aumentaron un 166%, según la empresa. Entre los clientes de la empresa con sede en San Mateo, California, se incluyen Singapore Airlines y la aerolínea de descuento japonesa Zipair, así como otras aerolíneas que dijo que no puede revelar. (Las dos aerolíneas no respondieron a una solicitud de comentarios).
Ha habido un aumento del 30% al 40% en las cuentas pirateadas con éxito, estima Staab, basándose en conversaciones con miembros de su grupo industrial.
Los actores maliciosos están vendiendo herramientas para llevar a cabo los llamados ataques de robo de credenciales en Vietnam, China y Rusia, dijo Gosschalk, y están ofreciendo soporte técnico a los compradores. “Ya no es necesario ser un desarrollador”, dijo Gosschalk. “La accesibilidad para cometer el delito ha disminuido mucho gracias a que ahora hay una infraestructura disponible para realizar estos ataques”.
Los cibercriminales que utilizan estas herramientas venden el acceso a las cuentas que han vulnerado, a menudo a través de grupos de Telegram y WhatsApp, con la cantidad de puntos indicada. Las cuentas suelen tener un precio equivalente al 80% del valor de los puntos o menos, dijo Gosschalk. Algunas ofrecen garantías de que el comprador tendrá acceso durante un número mínimo de minutos. Si el sistema de seguridad de la cuenta lo expulsa antes de ese tiempo, obtendrá un sustituto de valor similar o le devolverán el dinero.
LOS PIRATAS INFORMÁTICOS AHORA QUIEREN ROBAR TUS MILLAS AÉREAS Y PUNTOS DE HOTEL; ESTO ES LO DEBES SABER
Los compradores retiran sus puntos canjeándolos por tarjetas de regalo o comprando billetes de avión. Algunas de las cuentas pirateadas se utilizan para vender billetes de avión con grandes descuentos al público en sitios web que parecen agencias de viajes legítimas, dijo Staab.
Staab estima que aproximadamente el 1% de los canjes de puntos de las aerolíneas son fraudulentos, y las pérdidas totales ascienden a alrededor del 3% cuando se incluyen los costos asociados, incluido el tiempo del personal y el reembolso de puntos a algunos clientes. La Asociación Internacional de Transporte Aéreo estimó en 2020 que la industria perdió más de mil millones de dólares al año por fraude en los pagos.
Staab cree que el volumen total de fraude no ha aumentado, sino que ha pasado del fraude con tarjetas de crédito a la apropiación de cuentas.
Las cuentas de fidelidad se han convertido en objetivos más valiosos gracias al éxito de las aerolíneas en la promoción de tarjetas de crédito de marca compartida que otorgan millas aéreas a los clientes como recompensa por usarlas. La líder ha sido Delta Air Lines, que debería ganar alrededor de 7.000 millones de dólares con su asociación con la tarjeta American Express este año, según los analistas de TD Cowen, frente a los 1.000 millones de dólares de 2009. Delta tiene 25 millones de miembros activos de SkyMiles. Un portavoz de Delta, Drake Castaneda, dijo que no estaba al tanto de un aumento en las cuentas de recompensas pirateadas.
Según un informe de IdeaWorks, aproximadamente el 70% de los puntos que ganan los clientes de las aerolíneas Delta, American y United provienen de recompensas de tarjetas de crédito y otros socios. Las cadenas hoteleras también se han sumado al tren de las tarjetas de crédito.
Pero las medidas de seguridad de las aerolíneas no han estado a la altura: la mayoría de las cadenas de hoteles y aerolíneas no requieren autenticación multifactor porque son reacias a agregar fricción al proceso de transacción para los clientes, dijo Laming.
Eso hace que estas cuentas sean un blanco más fácil. En comparación con el hackeo de una cuenta bancaria, también existe un riesgo mucho menor de cargos penales, dijo Staab. Una razón: es más difícil para los fiscales vincular un gran número de hackeos a un solo sospechoso, lo que es necesario para demostrar una pérdida de valor en dólares lo suficientemente alta como para justificar dedicar tiempo al caso.
En un proceso poco común, en 2021, cinco hombres se declararon culpables en un tribunal federal de Texas de cargos de fraude por el robo de millones de millas aéreas de cuentas pirateadas y la venta de billetes comprados con ellas.
Este tipo de piratería puede ser una plataforma de lanzamiento para delitos más graves, dijo Gosschalk. Arkose ha rastreado a algunos piratas informáticos que comenzaron siendo adolescentes a hacerse con el control de cuentas de videojuegos para robar moneda virtual, y luego usaron las habilidades que desarrollaron para ir tras las cuentas de hoteles y aerolíneas.
“Es una especie de droga de iniciación en el sentido de que es un delito bastante fácil de cometer”, dijo Gosschalk. Los piratas informáticos pueden pasar al lavado de dinero, al ransomware y a los ataques de robo de credenciales en cuentas bancarias.
Tres cadenas hoteleras y cuatro aerolíneas contactadas por Forbes se negaron a decir si estaban experimentando un aumento en el pirateo de cuentas de fidelidad. Pero entre bastidores, Staab dijo que ha habido una creciente preocupación. Muchos hoteles y aerolíneas están tomando medidas y están pasando a exigir algún tipo de autenticación multifactorial, por ejemplo, en el caso de canjes de puntos por encima de un cierto valor, dijo Staab.
La jefa de seguridad en línea de United Airlines, Deneen DeFiore, dijo en una presentación en una conferencia el mes pasado que la aerolínea se estaba alejando de las preguntas de seguridad que, al igual que las contraseñas, se han filtrado y a menudo se reutilizan, y está buscando nuevas formas de autenticación de cuentas por completo, según Gosschalk.
DeFiore y United no respondieron a las preguntas de Forbes .
También se están utilizando herramientas basadas en inteligencia artificial que pueden detectar anomalías y patrones en las transacciones y activar alertas, dijo Laming.
En última instancia, educar a las personas para que dejen de reciclar sus contraseñas tendría el mayor impacto, dijo.
“Puedes implementar todos los controles que quieras, pero si el miembro usa las mismas credenciales… entonces será muy difícil combatirlo”.
Este artículo fue publicado originalmente por Forbes US.
Te puede interesar de Forbes en Español: Las 8 tendencias de marketing que destacaron en Cannes Lions 2024
