### Ciberdelincuentes Suplantan Aerolíneas para Estafas de Depósitos Reembolsables Vía Email

#### 1. Introducción

En las últimas semanas, expertos en ciberseguridad han detectado un incremento significativo de campañas de phishing dirigidas a usuarios y empresas vinculadas al sector aéreo. Estas campañas, caracterizadas por la suplantación de identidad de aerolíneas y aeropuertos reconocidos, buscan engañar a las víctimas solicitando depósitos supuestamente «reembolsables», con el objetivo final de sustraer fondos y datos sensibles. El presente artículo detalla los aspectos técnicos, vectores de ataque, indicadores de compromiso y recomendaciones para contener este tipo de amenazas, de especial relevancia ante el inminente inicio de la temporada alta de viajes.

#### 2. Contexto del Incidente o Vulnerabilidad

La campaña de phishing identificada se ha intensificado durante el segundo trimestre de 2024, coincidiendo con el incremento de reservas y tráfico aéreo. Los atacantes están aprovechando la confianza que depositan los usuarios en las comunicaciones oficiales de aerolíneas como Iberia, Lufthansa o aeropuertos internacionales, enviando correos electrónicos fraudulentos que informan a la víctima sobre supuestos cambios en reservas, requisitos adicionales o «nuevas políticas» de depósito reembolsable, alegando motivos como seguridad, verificación de identidad o actualización de normativas.

Este tipo de actividad maliciosa no solo afecta a particulares, sino también a empresas del sector turístico, agencias de viajes y departamentos financieros de compañías que gestionan desplazamientos frecuentes de empleados. El impacto potencial se ve amplificado por la automatización de estos envíos mediante herramientas de phishkit y servicios de envío masivo.

#### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los correos electrónicos detectados presentan técnicas de spoofing y falsificación de remitente (táctica T1589 de MITRE ATT&CK), replicando con alto grado de fidelidad los elementos visuales y lingüísticos de las comunicaciones oficiales. Los atacantes utilizan dominios similares (typosquatting) y subdominios maliciosos, dificultando su detección por los sistemas de filtrado convencionales.

No se ha identificado una vulnerabilidad de software específica (por tanto, sin CVE asociado), pero sí la explotación masiva de credenciales filtradas y listas de correo obtenidas en brechas previas (T1589, T1192). En algunos casos, los mensajes contienen enlaces a sitios web clonados (T1566.002), donde se solicita el pago de un depósito a través de pasarelas de pago fraudulentas o criptomonedas.

Indicadores de compromiso (IoC) observados incluyen:
– Dominios de reciente creación imitando a las compañías aéreas (por ejemplo, iberia-checkin[.]com, lufthansadeposit[.]info)
– Enlaces acortados para evadir controles de seguridad
– Archivos PDF o HTML adjuntos con formularios de pago embebidos
– Origen de los emails desde servicios de correo legítimos comprometidos (T1586.002)

En cuanto a frameworks utilizados, se han detectado phishkits comerciales y personalizados, así como campañas orquestadas a través de plataformas de CaaS (Crime-as-a-Service).

#### 4. Impacto y Riesgos

El riesgo principal es la sustracción directa de dinero mediante el pago de depósitos falsos, con importes que varían entre los 75 y 500 euros, dependiendo del perfil de la víctima. Además, muchas de estas campañas incluyen la recolección de información personal y financiera, facilitando futuros ataques de ingeniería social o fraudes de mayor escala.

Según datos de la Agencia Española de Protección de Datos (AEPD), este tipo de incidentes puede implicar la vulneración del GDPR si se ven comprometidos datos personales de clientes o empleados. Para las empresas, el coste medio de un incidente de phishing puede superar los 90.000 euros, considerando tanto el impacto directo como el reputacional y las posibles sanciones regulatorias.

#### 5. Medidas de Mitigación y Recomendaciones

– Implementar autenticación multifactor (MFA) en todos los accesos a correo corporativo y sistemas críticos.
– Activar filtros avanzados de correo electrónico con análisis de URLs y archivos adjuntos en tiempo real.
– Configurar DMARC, SPF y DKIM en los dominios corporativos para dificultar la suplantación.
– Sensibilizar a empleados y usuarios finales mediante simulacros de phishing y formación específica.
– Monitorizar dominios similares o potencialmente maliciosos que hagan typosquatting de la marca.
– Establecer procedimientos claros de verificación para cualquier solicitud de pago o depósito fuera de los canales habituales.

#### 6. Opinión de Expertos

Analistas de ciberseguridad como Chema Alonso (Telefonica) y Lorenzo Martínez (Securízame) coinciden en que “la sofisticación de los ataques de phishing dirigidos está alcanzando niveles preocupantes”, especialmente en sectores donde la inmediatez y la confianza en las comunicaciones oficiales son críticas. Recomiendan “reforzar la colaboración entre departamentos de IT, legal y atención al cliente para identificar y bloquear rápidamente campañas activas”.

#### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones del sector aéreo, la proliferación de este tipo de estafas supone un riesgo reputacional y operativo significativo. Las empresas deben actualizar sus políticas de comunicación y advertir proactivamente a clientes y empleados sobre posibles fraudes. Los usuarios, por su parte, deben desconfiar de cualquier solicitud de pago extraordinaria recibida por email y verificar siempre la autenticidad de los remitentes.

A nivel regulatorio, la inminente entrada en vigor de la Directiva NIS2 en la UE refuerza la obligación de notificar incidentes de seguridad y aplicar medidas preventivas más estrictas, especialmente en sectores críticos como el transporte.

#### 8. Conclusiones

Las campañas de phishing orientadas a la suplantación de aerolíneas y aeropuertos mediante la exigencia de depósitos reembolsables representan una amenaza al alza para la seguridad financiera y la protección de datos en el sector aéreo. La combinación de técnicas de ingeniería social avanzada, el aprovechamiento de brechas previas y la falta de concienciación en usuarios y empresas crea un escenario propicio para el éxito de estas campañas. Solo mediante una estrategia integral de prevención, detección y respuesta, será posible reducir el impacto de este tipo de amenazas.

(Fuente: www.kaspersky.com)