Cómo funciona el fraude de los billetes de avión y reserva de hoteles (I)

miércoles, 3 de junio de 2015

Perpetrar un fraude relacionado con billetes de avión u hoteles y salir airoso, no parece buena idea. Durante todo el proceso se está identificado, y sería trivial para las autoridades detener a los autores. Pero... nada más lejos de la realidad. Existe un floreciente mercadeo de fraude en viajes en el mundo underground. Cada vez más personas consiguen viajar un 30%-50% por debajo del precio real (incluso alguno, gratis). Y lo que es más sorprendente, aunque se trate de un fraude, la gente viaja con sus identidades reales. ¿Cuál es el secreto?

Para los aficionados a la seguridad informática, las dos posibilidades de fraude más conocidas serían:
  • El "carding" (uso de tarjetas de crédito robadas)
  • El uso de puntos/millas robados de cuentas atacadas (reward points)
Y lo cierto es que, según una estimación basada en una investigación reciente realizada por Eleven Paths y el Servicio de Detección de Amenazas y Vigilancia Digital de Telefónica, alrededor del 70% del fraude en viajes tiene como origen una de esas dos técnicas.

El resto de viajes robados, vienen cada uno de diferentes fuentes, dependiendo de las habilidades de cada "vendedor" o proveedor de los viajes. Dado que el carding es fácil de detectar (con servicios como JetSetMe, o de detección de tarjetas robadas con plataformas como BlueLiv), la industria del fraude en viajes ha buscado otros métodos "más" seguros. En la investigación llevada a cabo se han identificado distintos métodos "más sofisticados", como los ataques directos a las agencias de viaje (tanto online como offline)  y sus sistemas de backend conectados a los sistemas GDS (Global Distribution System) de las aerolíneas y hoteles (como AMADEUS o SABRE), robando las credenciales de acceso de esas agencias.

También se han identificado ataques a cuentas corporativas de grandes empresas que manejan una gran cantidad de viajes, entre los que se introducen puntualmente los fraudulentos de forma que pasen desapercibidos, o fraudes a los seguros... y otros muchos más variopintos, pero no masivos.

¿Vendedores? ¿Es que hay vendedores de viajes robados?

Como todo en Internet, esto se ha convertido en un negocio, y las mafias se han encargado de hacerlo floreciente. Han creado una gran oferta en los mercados negros de la Deep Web. El objetivo final de las mafias es monetizar el método usado para conseguir los viajes (ya sea carding, o el robo de credenciales de sistemas GDS...) y sobre todo, traspasar el riesgo. Quien se arriesga es el que viaja, nunca el vendedor (proveedor) de viajes, que permanece en el anonimato usando toda clase de medidas de protección para no ser localizado.

A su vez, muchos de los compradores que acuden a la Deep Web revenden los billetes a gente de la calle. Traspasan el riesgo y evitan ser pillados.

Billete de viaje a mitad de precio vendido en la Deep Web

También existe un gran número de vendedores con varios años de antigüedad "en el negocio", retirados de las ofertas públicas de los Black Markets. Estos suelen trabajar solo con compradores de forma directa, que adquieren un gran volumen de viajes y que les proporcionan un flujo constante de nuevos viajeros.

¿Y cómo es de grande el fraude?

Se han localizado más de 40 vendedores distintos en activo, donde alguno de ellos dice gestionar picos de hasta 100 viajes al día. Los vendedores, salvo unos pocos que se mantienen estables (entre 15 y 20), van y vienen. Todas las semanas aparecen nuevos vendedores y desaparecen otros. Algunos estafando a sus "clientes"… Obviamente, nada suele ser lo que parece en la deep web.

Si tenemos en cuenta las estimaciones de Interpol y Europol, junto a las aerolíneas, el fraude asciende hasta los 1.000 millones de dólares, y afecta (de forma proporcional a su tamaño) a todas las aerolíneas y bancos emisores de tarjetas de crédito.

Datos del fraude con robo de billetes

Para hacerse una idea de la magnitud del fraude, pueden usarse los resultados de las redadas de Interpol y Europol, de las que se han realizado tres grandes operaciones en el último año y medio. Consisten en cazar viajeros que consuman este tipo de billetes comprados u obtenidos de manera ilícita. Durante los aproximadamente dos días que dura cada redada, se detectan o detienen a unos 150-250 viajeros. Realizando una media de forma extremadamente conservadora, se puede extrapolar que el fraude asciende a unos 100-200 viajeros diarios a nivel mundial. El dato  probablemente sea mucho mayor, puesto que las redadas se centraron en el fraude ya descubierto (principalmente realizado con carding, y por tanto "detectable" cotejando los billetes comprados con tarjetas que se saben robadas). Es lógico pensar que hay mucho fraude no descubierto (a tiempo).

En la siguiente entrada, veremos si cualquiera puede comprar estos billetes, cuánto cuestan, cómo usan su identidad real y cómo protegerse.

* Cómo funciona el fraude de los billetes de avión y reserva de hoteles (y II)
Marcos Monge
marcos.monge@cybersecurity.telefonica.com

No hay comentarios:

Publicar un comentario en la entrada