Alerta de estafas: cómo roban el código IATA a agentes de viajes

La digitalización del turismo, si bien ha agilizado los procesos de reserva, también ha abierto puertas a nuevas vulnerabilidades que hoy ponen en jaque la solvencia de las agencias de viajes. La World Travel Agents Associations Alliance (WTAAA) ha emitido una alerta roja global tras detectar un esquema de fraude altamente sofisticado que utiliza la acreditación oficial de las agencias para emitir pasajes ilegales.

Este fenómeno ya ha registrado incidentes confirmados en América del Norte y del Sur, dejando un rastro de pérdidas económicas que, en un solo caso documentado, superó los 350.000 dólares. Lo alarmante de esta situación es que los agentes afectados no cometieron errores operativos, sino que fueron víctimas de una suplantación de identidad corporativa a gran escala.

ESTAFAS A AGENTES DE VIAJES: QUÉ ES EL FRAUDE POR SUPLANTACIÓN DE CÓDIGO IATA

Se define como una modalidad de estafa corporativa en la que delincuentes informáticos utilizan el número de acreditación oficial de una agencia ante la Asociación de Transporte Aéreo Internacional (IATA) para engañar a las aerolíneas. El objetivo es obtener acceso a los sistemas de Nueva Capacidad de Distribución (NDC) o portales de agentes, permitiendo la emisión masiva de tickets aéreos sin el consentimiento ni el conocimiento de la agencia titular de las credenciales.

A diferencia de los ataques tradicionales, en este esquema no existe una brecha de seguridad en los sistemas GDS (Global Distribution Systems). La falla reside en los procesos de verificación de identidad de las líneas aéreas, que en ocasiones validan el alta de un usuario basándose únicamente en la veracidad del número IATA, sin cruzar datos adicionales de contacto.

ANATOMÍA DEL FRAUDE: DOMINIOS ESPEJO Y TARJETAS ROBADAS

El modus operandi detectado por la WTAAA combina la ingeniería social con el robo de datos financieros. Los estafadores crean dominios de correo electrónico «spoofing» o similares a los legítimos (por ejemplo, cambiando una sola letra del nombre de la agencia) para presentarse ante las aerolíneas como personal autorizado.

Una vez que obtienen las credenciales del portal NDC, el proceso sigue un patrón letal:

1. Acceso al inventario: Los criminales ingresan a los sistemas de venta directa de las compañías aéreas.
2. Emisión masiva: Se emiten pasajes de alto valor utilizando tarjetas de crédito robadas.
3. Efecto diferido: La agencia damnificada recién advierte la maniobra semanas después, cuando llegan las notificaciones de chargeback (contramargen o reversión de pago) por parte de los bancos, enfrentándose a deudas astronómicas por servicios que nunca vendió.

RECOMENDACIONES DE SEGURIDAD PARA EL SECTOR TURÍSTICO

Otto de Vries, Director Ejecutivo de la WTAAA, enfatizó que mientras la industria adopta nuevas tecnologías de distribución, las prácticas de seguridad deben evolucionar al mismo ritmo. El riesgo no es solo financiero, sino también reputacional ante la IATA y las propias transportistas.

Para mitigar el riesgo de estas estafas, se recomienda a los titulares de agencias seguir un protocolo de auditoría estricto:

* Auditoría de conexiones: Revisar todos los registros activos en sistemas NDC y conexiones a portales de aerolíneas vinculados a su número de legajo.
* Monitoreo en tiempo real: No esperar al cierre del ciclo de facturación de BSP o ARC; es vital controlar la emisión de tickets de manera diaria para detectar actividad inusual.
* Vigilancia digital: Estar alerta ante correos electrónicos que soliciten validación de datos o dominios que imiten la identidad visual de la empresa.

La detección temprana es la única herramienta efectiva frente a este sabotaje económico. Ante cualquier irregularidad, la instrucción es reportar de inmediato el incidente a los equipos de seguridad de las aerolíneas, el GDS y las asociaciones nacionales de agencias de viajes para bloquear la acreditación comprometida.