Cómo funciona el fraude de los billetes de avión y reserva de hoteles (y II)

lunes, 8 de junio de 2015

En la entrada anterior se introdujo el asunto y las fórmulas de fraude de los billetes de avión y reserva de hoteles. Se describió cómo funcionaba, de dónde venían las fuentes de fraude, y se ofrecieron algunas cifras. Veamos ahora otros detalles sobre el asunto, que nos permitan conocer en profundidad este tipo de estafas.

Quién puede comprar

Cualquiera con bitcoins y acceso a la Deep Web (y algo de valor, todo sea dicho) puede comprar a estos vendedores. La transacción suele funcionar así:
  • El comprador envía al vendedor una captura de una agencia de viajes donde se vea el vuelo/hotel deseado, con el precio retail publicado. 
  • El vendedor crea un "custom listing" en el mercado negro por el valor acordado (que oscila entre el 20% y el 50% del precio retail). 
  • El comprador compra el anuncio y envía el dinero en bitcoins. El dinero queda depositado en una especie de depósito (escrow) en el black market, junto a los datos de los viajeros. 
  • El vendedor hace su trabajo y proporciona el localizador. 
  • El comprador verifica con la aerolínea que el billete es correcto y libera el pago del depósito. Dependiendo del vendedor, esto suele ser entre las 24 horas después de la entrega del billete hasta 24 horas antes del vuelo. Muy pocos aceptan liberar el escrow después del vuelo.
¿Cuánto cuesta?

Los precios son variables, y están directamente relacionados con el precio retail encontrado en el mundo real. Por ejemplo, si un vuelo cuesta 1.000€ y la tarifa del vendedor es del 25%, se pagan 250€ en bitcoins. Los vendedores con métodos de compra basados en carding o uso de cuentas de puntos robadas, cobran entre el 20% y el 35%, dependiendo de su experiencia, referencias etc.

Los vendedores con métodos más sofisticados y seguros, cobran entre el 40% y el 50%, ofreciendo según ellos métodos absolutamente seguros e indetectables que nunca supondrán un problema para los viajeros.

¿Los viajeros usan su identidad real? 

En general, está bastante extendida en la Deep Web la creencia de que viajar de esta forma es seguro. La inmensa mayoría suele disponer siempre de una coartada, como denegación plausible. Por ejemplo, es fácil alegar que tú como viajero eres inocente y que has sido víctima de una estafa, que creías que estabas comprando un billete legal a alguien que conociste y decía trabajar en una agencia de viajes y poder conseguir billetes más baratos.

Aunque, en caso de ser descubiertos, muchos podrían alegar ser víctimas de otra estafa, difícilmente podrían justificar portar documentación falsa. Si bien existe mucha oferta de documentación falsa (incluso a precios asequibles) la inmensa mayoría de esta documentación difícilmente pasaría un control fronterizo, ya que si no se trata de malas imitaciones, es documentación real perdida o robada a sus propietarios Esta documentación suele estar registrada en bases de datos policiales como la STLD (Stolen and Lost Travel Documents) de la Interpol.

Venta de identidades falsas en la Deep Web

Existe también bastante oferta de documentación falsa "de calidad", cuando no realmente auténtica de determinados países, aunque sus precios son demasiado altos (hasta 20.000 dólares). Esto hace que se utilice para otra clase de actividades ilícitas y no precisamente viajes. Quien puede portar esta clase de documentación falsa tiene otras actividades ilegales bastante más lucrativas que le permite comprar billetes auténticos.

¿Y la policía no hace nada? ¿Y los bancos?

Durante mucho tiempo ha estado bastante extendida la creencia de que las fuerzas de seguridad, en sus actuaciones cibernéticas, no se dedican a la persecución de este pequeño fraude, y que principalmente se centran en la persecución de delitos de pornografía infantil y similares.

Su argumento es que al estar involucrados distintos países y el fraude ser relativamente pequeño (de forma individual) no se persigue. Por lo general el viajero es de un país, la compra del billete se produce en una agencia de viajes de un país diferente. Además, el pago se hace con una tarjeta de crédito robada de un tercer territorio. Para colmo, el país origen/destino del viaje es quizás diferente a los anteriores. Al haber tantas jurisdicciones involucradas, es muy complicado realizar su persecución legal, más allá de cancelar la compra si es detectada a tiempo.

Y el caso es que esto era así hasta hace no mucho tiempo. Sin embargo en el último año y medio se han realizado ya hasta tres grandes redadas a escala mundial de forma coordinada entre Interpol, Europol y otras fuerzas de seguridad de otros países, junto a bancos y aerolíneas, en las que se ha detenido a cientos de viajeros. Y todo parece indicar que estas redadas globales continuarán.

Cómo protegerse de este fraude

El fraude en viajes afecta sobre todo a bancos y agencias de viajes, y en menor medida a las aerolíneas. Desde los servicios de Vigilancia Digital de Telefónica intentamos detectar en qué lugares de la Deep Web se está produciendo esta venta ilegal para conocer en detalle cuáles son los sistemas empleados para el fraude.

La lucha contra este fraude, al igual que contra el fraude en general, pasa por intentar reducir el robo de medios de pago (o dejarlos sin utilidad en caso de ser robados) y, sobre todo, identificar al titular de cada transacción correctamente.

Cómo funciona el fraude de los billetes de avión y reserva de hoteles (I)

Marcos Monge
marcos.monge@cybersecurity.telefonica.com

2 comentarios:

  1. No es tan difícil pasar los controles fronterizos con documentación falsa https://wikileaks.org/cia-travel/secondary-screening/WikiLeaks_CIA_Assessment_on_Surviving_Secondary_Screening.pdf

    ResponderEliminar
    Respuestas
    1. Creo que no es comparable el pasar controles fronterizos con documentación elaborada por la CIA que con documentación comprada en la deepweb.

      Eliminar