Viajar es uno de los mayores placeres. Sin embargo, imagina llegar al aeropuerto y descubrir que tu vuelo no existe. No se trata de un error del sistema, ni de un retraso de última hora: has sido víctima del timo del vuelo fantasma.
“Estas estafas pueden producirse a lo largo de todo el año y suelen aumentar de forma oportunista cuando los viajeros se encuentran bajo presión, por ejemplo, durante los periodos de mayor afluencia de viajeros o las temporadas vacacionales”, indican desde el equipo de Ciberseguridad de la Asociación Internacional de Transporte Aéreo (IATA, por sus siglas en inglés). De hecho, según los datos de los últimos informes de la firma de Ciberseguridad SecureIT, los ataques de phishing e intentos de estafa online se incrementan entre un 20% y un 30% durante los meses de vacaciones.
La Asociación Internacional de Transporte Aéreo (IATA, por sus siglas en inglés) estima que solo en el año 2022, las pérdidas relacionadas con la comercialización de billetes falsos superaron los 1.300 millones de euros.
A continuación, te damos las claves para detectar este fraude a tiempo para que los delincuentes no arruinen tus planes y poder así disfrutar de las vacaciones sin sobresaltos.
¿En qué consiste el timo del vuelo fantasma?
El uso de plataformas online para reservar vuelos —ya sea la web de la propia compañía, agencias de viaje o intermediarios— es la herramienta más cómoda para comparar precios y conseguir un billete a buen precio. Sin embargo, los delincuentes suelen aprovecharse de esta práctica. “La mayoría de las estafas no se dirigen específicamente a una aerolínea concreta, sino que se basan en técnicas de suplantación de identidad que pueden aplicarse a cualquier aerolínea. Los estafadores pueden utilizar la imagen de marca de las aerolíneas, cuentas falsas de atención al cliente o incluso hacer un uso indebido del logotipo de la IATA para parecer creíbles”, explican desde esta asociación.
Para no caer en la trampa, es fundamental conocer los métodos principales que utilizan para captar a sus víctimas. A continuación, exploramos los más habituales.
Una de las estafas más comunes es la venta de pasajes a través de páginas web falsas de agencias, aerolíneas o agentes intermediarios. Los ciberdelincuentes diseñan sitios web que replican de forma casi idéntica las tipografías, logotipos, colores y la estética visual de las aerolíneas oficiales o de agencias de viaje reconocidas. El gancho de estas páginas son ofertas anormalmente bajas o supuestas promociones ‘exclusivas’. Una vez que el usuario se convence de que ha encontrado un chollo, la web le solicita rellenar un formulario con los datos de la reserva. De esta manera, los ciberdelincuentes obtienen la información personal y financiera necesaria para materializar el fraude.

Otro tipo de estafa habitual en estas fechas es la falsa oferta en redes sociales. Los delincuentes publican anuncios patrocinados o posts atractivos con falsos descuentos de aerolíneas o falsas tarjetas de regalo. Al hacer clic en la publicación, se abren dos escenarios: o bien redirigen a la víctima a una web fraudulenta de captura de datos, o bien la desvían a chats privados de WhatsApp o Telegram.
“Los canales más habituales utilizados por los estafadores son las redes sociales (Facebook, Instagram, etc.) y las plataformas de mensajería (WhatsApp, Telegram, etc.)”, puntualizan desde el equipo de la Asociación Internacional de Transporte Aéreo. En estos canales, los estafadores presionan para que se realice un pago directo (por transferencia o Bizum) fuera de cualquier pasarela segura. Desde la aerolínea American Airlines recomiendan, para saber si la oferta promocional existe y si esta está vigente, visitar la página web de la compañía o visitar sus cuentas de redes sociales oficiales.
Otra táctica habitual son los falsos servicios de reembolso o cambio de reserva. En este caso, los estafadores se hacen pasar por aerolíneas o agencias de viajes afirmando que pueden ayudar con reembolsos, cancelaciones, cambios de reserva o modificaciones en una reserva a cambio de una tarifa, momento que aprovechan para hacerse con el dinero de las víctimas. “En muchos casos, los viajeros pueden verificar o gestionar las reservas directamente a través del sitio web oficial de la aerolínea, la aplicación móvil o los canales de atención al cliente verificados de forma gratuita”, recuerda el equipo de Ciberseguridad de IATA.
Las campañas de phishing (a través de correo electrónico) y smishing (vía SMS) siguen siendo los sistemas más habituales para pillar desprevenido al usuario. El modus operandi de los ciberdelincuentes consiste en el envío masivo de mensajes que suplantan la identidad de aerolíneas reconocidas, articulando su estrategia en torno a tres elementos críticos. En primer lugar, imponen un falso sentido de urgencia exigiendo acciones inmediatas bajo la amenaza de cancelar la reserva o el vuelo. En segundo lugar, incorporan enlaces fraudulentos diseñados para redirigir a la víctima a plataformas falsas donde se solicitan de forma explícita credenciales de acceso y contraseñas confidenciales. En otras ocasiones, incluyen archivos adjuntos maliciosos camuflados como supuestos billetes o facturas en formato PDF o ZIP que, al ser descargados, instalan un malware espía en el dispositivo para capturar datos bancarios en segundo plano.
Siete ‘red flags’ a tener en cuenta durante la compra
Precios demasiado bajos. Desconfía de los billetes que tienen precios muy bajos en comparación con los precios habituales de las aerolíneas. Suele ser una señal clara de estafa.
Urgencia para que te decidas sin pensarlo. Huye de mensajes como «¡Última plaza disponible!» o «La oferta expira en 3 minutos». “El objetivo es forzarte a tomar una decisión impulsiva para que tengas poco tiempo para pensar, comparar o informarte mejor”, señalan desde el Instituto Nacional de Ciberseguridad (INCIBE).
Falta de reseñas o perfiles sospechosos. Desde SEON, empresa tecnológica especializada en la prevención del fraude digital y la suplantación de identidad, explican que la mayoría de los negocios en línea se encuentran en sitios de reseñas donde puedes comprobar las quejas y opiniones de los clientes. Un indicio de estafa es si son perfiles poco construidos o sin comentarios de otros usuarios.
Solicitudes de pago por canales no oficiales. Es una medida común para saltarse el pago mediante las aplicaciones y conseguir el dinero rápidamente, “evitando de esta manera las medidas de seguridad y la necesidad de usar una identidad real para los métodos de pago oficiales”, recuerdan desde INCIBE.
Errores ortográficos o de diseño de la app. Si los textos no están bien presentados, están mal redactados o tienen otro tipo de fallos similares podría ser un fraude. No obstante, hoy en día ‘la perfección’ también es sinónimo de estafa: debido al uso de la IA generativa muchos mensajes fraudulentos ya no contienen errores ortográficos ni frases extrañas propias de las traducciones automáticas.
Enlaces externos que redirigen a formularios donde se solicitan datos personales y bancarios para realizar un pago bajo cualquier pretexto. En algunos casos, también pueden llevar la descargo de archivos que instalan malware en tu dispositivo.
Tenga cuidado con las solicitudes de pago urgentes. Las aerolíneas y las agencias de viajes legítimas no deben presionar a los viajeros para que realicen un pago inmediato. “Los pagos mediante criptomonedas u otros métodos difíciles de revertir deben tratarse con precaución”, aconsejan desde el equipo de Ciberseguridad de IATA.
Consejos para no caer en la trampa
Antes de adquirir un billete, realiza tu propia investigación. Busca información por tu cuenta, no solo sobre la agencia de viajes, la página web intermediaria o la aerolínea, sino también sobre los rangos de precios habituales del trayecto de tu viaje. Desde el órgano de Consumo de la Junta de Andalucía recomiendan comprobar que la agencia o la aerolínea es legal y tiene todas las licencias para poder operar antes de realizar cualquier gestión.
A continuación, accede siempre escribiendo la dirección en el navegador o desde la app oficial de la compañía. “Verifica que comience con https:// y que esté presente el candado de seguridad”, aconsejan desde LATAM. La mayoría de los navegadores son bastante buenos a la hora de avisar cuando un sitio web es sospechoso, pero comprueba dos veces que la URL es correcta, especialmente en la fase de pago. “Tampoco olvides aplicar precauciones elementales como pasar el cursor sobre los enlaces para ver el enlace verdadero”, recuerdan desde Iberia.
En el caso de que recibas una supuesta notificación sobre tu reserva por email o SMS, “antes de tomar cualquier decisión, analiza el remitente, la coherencia del mensaje y la ortografía”, recuerdan desde Iberia. Y, por supuesto, nunca contestes automáticamente a ningún correo que solicite información personal o financiera. “Si dudas, no hagas clic, no abras documentos adjuntos y no sigas instrucciones”, advierten. La mejor manera de salir de dudas es consultando directamente a las compañías a través de sus canales de comunicación oficiales.

“Confirme cualquier comunicación recibida: compruebe que los números de teléfono y las direcciones de correo electrónico coinciden con los oficiales que figuran en la página web de la aerolínea. Si recibe llamadas no solicitadas que afirman provenir de una aerolínea, lo más seguro es colgar y ponerse en contacto con el servicio de atención al cliente de la aerolínea a través de su página web oficial”, recomiendan desde el equipo de Ciberseguridad de IATA.
Desde la aerolínea Iberia aconsejan además no utilizar la misma contraseña para varias cuentas o servicio y tener instalado un programa de protección antivirus actualizado. Lo ideal es que, además de proteger frente a virus, el programa cuente con protección frente a malware (software malicioso).
La regla de oro (y la más importante): recuerda que ninguna compañía solicita tus claves, los datos de tu tarjeta de fidelidad o tus datos de tarjeta de crédito/débito vía e-mail o SMS. “Proteja los números de referencia de las reservas y las cuentas de fidelidad: un número de referencia de reserva, junto con el apellido, puede permitir el acceso a los detalles de la reserva. Los viajeros deben tratar esta información como confidencial y no compartirla con terceros no verificados. Las credenciales de las cuentas (correo electrónico, contraseña) no deben compartirse bajo ninguna circunstancia”, concluyen desde el equipo de Ciberseguridad de IATA.
¿Qué hago si he caído en la trampa?
Si ya se ha realizado el pago: “interrumpa toda comunicación con los estafadores”, indican desde el equipo de Ciberseguridad de IATA. El viajero debe ponerse en contacto inmediatamente con su banco para detener y revertir el pago, si todavía es posible. Además, se aconseja que el viajero se ponga en contacto con el banco del destino al que se enviaron los fondos para que congelen la cuenta fraudulenta y los fondos antes de que sean retirados. Es importante, además, que el usuario conserve las pruebas (capturas de pantalla, correos electrónicos y números de transacción, etc.) para poder interponer una denuncia ante la Policía.
Además, desde el equipo de Ciberseguridad de IATA aconsejan cambiar las contraseñas. “Si el viajero ha compartido credenciales de inicio de sesión, datos de cuentas de fidelización, acceso al correo electrónico o información personal, debe cambiar las contraseñas inmediatamente y habilitar la autenticación de dos factores siempre que sea posible”, indican.
Fuentes
Declaraciones del Equipo de Seguridad de la Asociación Internacional de Transporte Aéreo (IATA, por sus siglas en inglés)
Firma de Ciberseguridad SecureIT
Página web de la aerolínea American Airlines
Instituto Nacional de Ciberseguridad (INCIBE)
Órgano de Consumo de la Junta de Andalucía
SEON, empresa tecnológica especializada en la prevención del fraude digital y la suplantación de identidad
