Alerta en agencias por la ola de fraudes en entorno NDC y falsos clientes

Esta doble amenaza ha puesto en jaque la operativa diaria de las agencias, que se encuentran ante una sofisticada maquinaria delictiva. La vulnerabilidad más crítica detectada por la WTAAA se centra en la distribución directa, donde los estafadores crean dominios de correo electrónico casi idénticos a los de agencias reales para solicitar el acceso a los portales de agentes o sistemas NDC.

Al presentar un número IATA válido junto a esta identidad "espejo", consiguen autoridad de emisión sin levantar sospechas. Esta brecha permite a los criminales actuar con rapidez, dejando a las minoristas con la responsabilidad financiera de transacciones que nunca autorizaron y que suelen detectarse cuando llegan los cargos bancarios.

WTAAA ha alertado sobre fraudes en las agencias de viaje relacionados con los sistemas NDC. Fuente: IA/ Hosteltur.

El acecho de los falsos clientes

Más allá de la brecha tecnológica en el entorno NDC, las agencias de viajes se enfrentan a tácticas de ingeniería social cada vez más pulidas por parte de redes de estafa que operan bajo la apariencia de clientes legítimos. Patronales como ASTA y ABTA coinciden en que una de las amenazas más persistentes es la reserva "Premium" de última hora.

En este escenario, un supuesto cliente corporativo o de lujo solicita billetes en primera clase para una salida inmediata. El patrón es recurrente: una total indiferencia hacia el precio o las políticas de cancelación y una presión asfixiante sobre el agente para que emita el billete antes de que los sistemas de seguridad bancaria logren bloquear la transacción fraudulenta realizada con tarjetas sustraídas.

Phishing técnico y redes "Buy-for-you"

La vulnerabilidad del factor humano también se explota mediante el phishing técnico. Los delincuentes contactan con los asesores haciéndose pasar por soporte técnico de los GDS o proveedores de software, alegando la necesidad de solucionar un error crítico en el sistema.

El objetivo es obtener las credenciales de acceso para tomar el control remoto del terminal de la agencia, lo que les permite emitir billetes de forma descontrolada desde una fuente aparentemente autorizada. Asimismo, el sector vigila la proliferación de los servicios "Buy-for-you" (B4U) en la dark web. Estas redes captan clientes reales con descuentos imposibles y utilizan a agencias físicas de confianza para tramitar las reservas, pagando con métodos sustraídos que acaban siendo revertidos, dejando a la agencia ante un vacío legal y económico de difícil solución.

Medidas de control para evitar agujeros en las cuentas

Ante este complejo escenario, los expertos recomiendan auditar semanalmente los registros NDC activos y monitorizar diariamente los sistemas de liquidación BSP y ARC. No se debe esperar al cierre del ciclo de facturación para detectar anomalías.

La WTAAA y las patronales insisten en la importancia de desconfiar sistemáticamente de cualquier solicitud de reserva que se desvíe de los canales de verificación habituales y en la necesidad de que los socios tecnológicos refuercen los procesos de autenticación de identidad en todo el ecosistema de distribución, evitando que el número IATA sea el único factor de valid