El surgimiento de las “agencias de viajes” clandestinas en los foros de Darknet ha remodelado el panorama del delito cibernético, transformando la tarjetas tradicionales en una economía de servicio completa que vende vuelos a mitad de precio, hoteles de cinco estrellas e incluso cartas de yates.
Lo que los compradores desprevenidos ven como una ganga es simplemente el último salto de una cadena de suministro criminal que comienza con el robo de accesorios y termina con reservas fraudulentas registradas en sistemas de aerolíneas y hoteles legítimos.
Página de destino de una agencia de viajes web oscuro anunciada en uno de los foros (fuente – Trustwave)
Las primeras campañas surgieron a fines de 2023, pero la actividad aumentó en 2024-2025, ya que los marcos de automatización permiten a los operadores abusar de los agregadores convencionales como Booking.com y Rentalcars.com sin tocar un motor de reserva pública.
Los vectores de ataque van desde el phishing de masa que desvíe las credenciales de lealtad hasta los troyanos de infantes de infantes que cosecharon tokens de pago de los navegadores.
Debido a que las transacciones se procesan en las API comerciales genuinas, los filtros anti-fraude convencionales a menudo aclaran la reserva, solo para cobrar semanas después, cuando el titular de la tarjeta legítimo disputa el proyecto de ley.
Las consecuencias financieras son de varias capas: las aerolíneas pierden el inventario de asientos, los hoteles absorben los retrocesos y los viajeros enfrentan saldos de recompensa drenados.
La encuesta de la industria 2024 de SITA muestra que el 66% de los operadores ahora clasifican la ciberseguridad como su principal prioridad del gasto de TI, impulsada en gran medida por las pérdidas de fraude de fidelización en lugar de las preocupaciones de ransomware o DDoS.
Investigadores de la onda de confianza anotado Esa agencia basada en el telegrama procesó más de 2,000 reservas solo en el primer trimestre de 2025, obteniendo aproximadamente $ 1.4 millones en ingresos ilícitos, a prueba de ese volumen, no de lujo, sustenta el modelo de negocio.
Una publicación de la agencia de viajes web oscuro en la sección del foro adecuada (fuente – Trustwave)
El informe de Trustwave destaca a los proveedores que anuncian abiertamente las ofertas de “albergue de presupuesto” junto a asientos de clase ejecutiva, lo que subraya que cualquier comerciante con una página de pago sea un juego justo.
Tan pronto como un agregador repara una vulnerabilidad o aprieta los requisitos seguros en 3-D, los operadores pivotan a vertederos de tarjetas frescas o cuentas de recompensa comprometidas, mostrando un ecosistema ágil de fraude como servicio que los reguladores luchan por rastrear.
Evasión de detección a través de bots de cadena por poder
En el corazón de cada itinerario fraudulento hay un enjambre de navegador sin cabeza que emula clientes legítimos mientras giran los proxies residenciales cada pocas solicitudes.
El BOT primero investiga un formulario de reserva con nombres falsos de pasajeros para probar números de tarjeta robado. Si la pasarela de pago devuelve “00” (aprobado), el malware finaliza el boleto dentro de la misma sesión de TCP para evitar desencadenantes de velocidad.
Los analistas de TrustWave identificaron que el BOT aleatoriza las cadenas de agentes de usuario y la zona horaria, luego la entropía de huella del navegador de semillas al inyectar el ruido sutil de WebGL, presentando scripts de perfil de dispositivos utilizados por los principales sistemas de distribución global.
Solicitudes de importación, Random, Time Def Book (Tarjeta, viaje): Session = Solicitudes. Sesión () Sesión. Encabezados (‘user-agent’) = random.chhoice (ua_list) session.proxies.update (next (proxy_pool)) Payload = build_payload (tarjeta, viaje) r = session. Post (‘https://api.booking-agg.com/checkout’, json = sueldo) if r.json (). Get (‘código’) == ’00’: confirma = session.post (‘https://api.booking-agg.com/confirm’, json = {‘id’: r.json () (‘tx_id’)}) Confirma-) TIME.SELE (Random.uniform (0.8,1.7)) # Evade Límites de velocidad
Debido a que el BOT completa tanto la autorización como la venta de boletos en menos de ocho segundos, los revisores humanos rara vez ven la transacción antes de que el cliente se registre.
Solo las medidas en capas (MFA cercado con geo en los portales de fidelización, los límites de velocidad vinculados al ID de dispositivo y la telemetría de la red oscura que marca las menciones de la marca) han demostrado ser efectivos para interrumpir este ciclo de fraude de alta velocidad.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
