Blog

7 pasos para detener el fraude de apropiación de cuentas (para empresas de viajes)

Los kits de phishing avanzados eluden el MFA. Conoce las mejores prácticas, señales de fingerprinting y herramientas que los equipos antifraude de viajes realmente usan para detener el ATO.

Apr 19, 2026 • 12 min read

Juan Combariza Growth Marketer

7 pasos para que los equipos de sitios web de viajes detengan el fraude ATO - cside - portada del blog

Resumen

Las cuentas de sitios web de viajes son objetivos prioritarios de ATO, ya que contienen información de pago almacenada y **programas de puntos de fidelización que son menos seguros que los flujos de cuenta principales. La LSA informó que $3.100 millones en puntos de fidelización canjeados son fraudulentos anualmente.
El fraude ATO es costoso. Los contracargos pueden superar los $2.000 para las empresas de viajes. Empresas como Booking[.]com han sufrido ataques ATO de forma reiterada entre 2020 y 2025.
Las mejores prácticas de prevención incluyen MFA basado en riesgo (con reglas que contemplen los viajes internacionales como algo normal), reforzar los flujos de recuperación de cuentas de fidelización en lugar de centrarse solo en el login, y usar señales de fingerprinting para detectar intentos de ATO de forma temprana.
La mayoría de las empresas de viajes combinan tres tipos de herramientas: MFA y verificación de identidad (Duo, Ping Identity), fingerprinting de dispositivos y detección de bots (cside, HUMAN Security), y suites antifraude (Sift, Forter).

¿Qué es el fraude de apropiación de cuentas en sitios web de viajes?

Gráfico de definición de fraude de apropiación de cuentas en viajes - cside

El fraude de apropiación de cuentas ocurre cuando un atacante obtiene acceso a la cuenta real de un cliente y la utiliza para cometer fraude o abuso. En el sector de viajes, esto suele comenzar por uno de varios puntos de entrada:

Credential stuffing con contraseñas reutilizadas, phishing disfrazado de comunicaciones oficiales de empresas de viajes, o flujos débiles de recuperación de contraseña.

En la mayoría de los sectores, el ATO deriva en fraude de pago. En viajes, también incluye fraude de fidelización. Los atacantes vacían millas de viajero frecuente o transfieren puntos de hotel a cuentas desechables.

Tampoco es un problema marginal. El informe de EY señala que el valor global de los puntos de fidelización supera los $200.000 millones. El fraude relacionado con ATO puede tardar aproximadamente entre 150 y 180 días en investigarse.

Por qué las cuentas de sitios web de viajes son objetivo del ATO

Para un atacante, una cuenta de viajes comprometida es uno de los objetivos de mayor rentabilidad en línea. Esto es a lo que acceden en una sola brecha:

Divisas de fidelización, métodos de pago almacenados habilitados para compras de alto valor, y datos personales ricos como números de pasaporte.

El comportamiento de los usuarios tampoco ayuda. La mayoría reutiliza contraseñas en distintas plataformas, y pocos tratan su login de hotel o aerolínea con la misma precaución que darían a una cuenta bancaria. Muchos usuarios solo crean una cuenta con prisa al final de una sesión de reserva cuando la plataforma se lo solicita. El checkout rápido, los métodos de pago guardados y las sesiones persistentes amplían la superficie de ataque.

Por eso los atacantes apuntan a sitios web de viajes (aerolíneas, cadenas hoteleras como Hilton y Marriott, y plataformas de reservas como Expedia y Booking[.]com).

Mejores prácticas para sitios web de viajes y hostelería para detener el fraude de apropiación de cuentas

1. Exige MFA en los momentos adecuados

Activa la verificación escalonada ante logins inusuales: Nuevo dispositivo, IP desconocida, país diferente. Ten en cuenta que en sitios web de viajes, los clientes inician sesión legítimamente desde distintos países. Marca la combinación de señales, no una sola.
El MFA basado en riesgo funciona mejor que las reglas generales.

2. Protege los flujos de restablecimiento de cuenta

Limita la tasa de solicitudes de restablecimiento de cuenta: Una ráfaga de restablecimientos dirigidos a múltiples cuentas es señal de credential stuffing.
No dependas únicamente de la recuperación por correo electrónico: Si la bandeja de entrada está comprometida, la cuenta está perdida. Añade verificación de dispositivo o un método de contacto secundario.

Las cuentas de programas de fidelización suelen tener flujos de recuperación más débiles que la cuenta principal de reservas. Equipo diferente, sistema diferente, valor igual (o mayor). Necesitan la misma protección.

3. Usa señales basadas en riesgo para detectar ATO

Señales de dispositivo y navegador: El fingerprinting, la configuración del navegador y elementos como la resolución de pantalla establecen una línea base por usuario.
Señales de red: Uso de VPN, detección de proxies, reputación de IP, discrepancias de geolocalización.
Patrones de comportamiento: Una sesión que inicia sesión y navega de inmediato a transferencias de fidelización se comporta de forma muy diferente a alguien que explora destinos.
Señales de alerta comunes: Patrones de viaje imposibles, múltiples cuentas desde un mismo dispositivo, inicio de sesión desde un nuevo dispositivo seguido de cambios inmediatos en la cuenta.

4. Detecta intentos de ATO automatizados de forma temprana

Los navegadores sigilosos y los bots de IA imitan el comportamiento real del usuario con suficiente precisión para eludir los CAPTCHAs y la detección básica de bots (el uso de navegadores sigilosos creció 11 veces en 2025). Se necesitan medidas más avanzadas para detectar el credential stuffing y las pruebas de login automatizadas de forma temprana:

La limitación de tasa basada en IP por sí sola no es suficiente: Los proxies residenciales hacen que el tráfico automatizado parezca legítimo.
Detección especializada: El fingerprinting de navegador detecta discrepancias de navegador, inconsistencias de dispositivo e indicios de comportamiento que señalan actividad ATO impulsada por IA.

5. Crea planes de respuesta ante ataques ATO

Desafiar: Presenta autenticación escalonada para dar al titular real de la cuenta una vía de regreso.
Notificar: Alerta al cliente sobre una posible manipulación de su cuenta.
Bloquear: Congela las transferencias de puntos de fidelización, los cambios de reserva y las actualizaciones de métodos de pago en las cuentas marcadas.
Investigar: Revisa qué cambió: nuevo correo electrónico, puntos transferidos, nuevas reservas o perfiles de viajero modificados.

Las transferencias múltiples de puntos de fidelización en particular deben tener una verificación secundaria, de forma similar a como los bancos gestionan las transferencias bancarias.

6. Ajusta los umbrales de fraude según los patrones históricos

Los viajes de invierno, los picos de verano y las vacaciones de primavera afectan a lo que parece un comportamiento de login "normal": más logins transfronterizos, más dispositivos nuevos, mayores volúmenes de reservas.

Revisa los patrones de login de temporadas anteriores antes de cada período pico
Ajusta las reglas de detección y los umbrales antes de los períodos de alto volumen
Reajusta después de cada pico en función de lo que realmente ocurrió, no de lo que predijiste

Ten en cuenta también los grandes eventos que generan picos regionales (Juegos Olímpicos, Copa del Mundo, festivales multitudinarios).

7. Asegúrate de que tu sitio web no esté filtrando credenciales de usuarios

Las inyecciones de código son uno de los vectores de ATO más ignorados. Los atacantes pueden inyectar scripts maliciosos directamente en tu sitio que secuestran formularios de login o páginas de reservas para robar credenciales mientras todo parece normal para las herramientas de seguridad de tu servidor/API.

La FTC señala que 416.582 casos de robo de identidad en EE. UU. fueron facilitados por skimming digital en un solo año.

Monitoriza de forma continua todos los scripts de terceros y propios. Las etiquetas de terceros, los fragmentos de analítica, los píxeles publicitarios y los widgets web introducen código que no controlas completamente. Cualquiera de ellos puede verse comprometido y convertirse en un punto de exfiltración de credenciales.
Usa una plataforma de seguridad web como cside para automatizar la monitorización de scripts del lado del cliente. cside Client-side Security vigila los intentos de exfiltración de datos e inyecciones de código dirigidos a páginas de login, flujos de reservas y páginas de puntos de fidelización.

Las mejores herramientas de prevención de apropiación de cuentas para sitios web de viajes

Cubrir el ATO de extremo a extremo suele requerir más de una herramienta. La mayoría de las empresas de viajes construyen su stack en torno a tres categorías.

MFA / verificación de identidad: Añade una segunda capa más allá de las contraseñas. Los códigos de un solo uso por correo electrónico, SMS o aplicaciones de autenticación son una primera línea de defensa. Auth0 y Duo son de uso habitual.
Fingerprinting / detección de bots: Rastrea señales de dispositivo, navegador y comportamiento para identificar credential stuffing y abuso de login automatizado. También proporciona señales brutas para tus reglas de fraude con el fin de identificar sesiones sospechosas que indiquen ATO. cside y HUMAN Security son opciones sólidas para el sector de viajes. Los sitios de viajes ya gestionan un tráfico de bots elevado procedente de scrapers de tarifas y verificadores de disponibilidad, por lo que la detección de bots resuelve varios problemas a la vez.
Suites antifraude: Puntúan el riesgo en login, reservas y actividad postventa en una sola plataforma. Suelen ser plataformas orientadas a empresas que buscan resolver los vectores de fraude de extremo a extremo, aunque ofrecen menos flexibilidad. Sift y Forter están bien consolidados para empresas de viajes.

Ejemplos reales de ataques ATO en sitios web de viajes

En abril de 2026, Booking[.]com confirmó que atacantes habían accedido a datos de reservas de clientes a través de cuentas de socios hoteleros comprometidas. Los atacantes enviaron correos electrónicos al personal de socios hoteleros suplantando a Booking[.]com para engañar a los empleados y que ejecutaran malware. Después contactaron directamente con los clientes, haciéndose pasar por el hotel, exigiendo un pago adicional o la verificación de la tarjeta utilizando datos de reserva reales para parecer legítimos.

Un ATO más típico en viajes tiene este aspecto: Un cliente reutiliza una contraseña en una cuenta de fidelización de aerolínea. Ese par de credenciales aparece en un volcado de datos de una brecha. Un atacante lanza intentos de login automatizados durante un pico de viajes en vacaciones. Un login funciona. Por la mañana, el correo electrónico de la cuenta ha sido cambiado, 85.000 millas transferidas a una cuenta desechable, y un billete de clase business reservado con la tarjeta almacenada. El cliente lo descubre cuando su saldo de puntos marca cero.

Por qué la apropiación de cuentas importa para los sitios web de viajes

El ATO no es solo un problema de seguridad. Afecta simultáneamente a los ingresos, las operaciones, la confianza de la marca y el cumplimiento normativo:

Pérdidas por fraude: Los atacantes vacían saldos de fidelización (millas, puntos, certificados de acompañante, créditos de mejora), reservan viajes con tarjetas almacenadas y revenden reservas. La Loyalty Security Association informó que $3.100 millones en puntos de fidelización canjeados son fraudulentos anualmente, lo que genera ~$1.000 millones en pérdidas directas.
Contracargos y disputas. Las transacciones de viajes son de alto valor. Una sola reserva fraudulenta puede generar un contracargo de más de $2.000, y las aerolíneas y las OTAs asumen esos costes porque se trata de fraude genuino en una cuenta real.
Confianza y retención de clientes: En EE. UU., el 83% de los consumidores afirma que reducirá su gasto con una empresa tras sufrir una brecha.
Carga operativa y de soporte: Oleada de restablecimientos de contraseña, solicitudes de recuperación de cuenta, revisiones manuales de reservas y nuevas reservas para los clientes afectados.
Exposición al cumplimiento normativo: PCI DSS para datos de pago almacenados y GDPR para la información personal de viajeros de la UE.
Implicaciones para el ciberseguro: Las aseguradoras evalúan cada vez más la adopción de MFA, los controles de acceso y la postura de prevención del fraude durante la suscripción.

El papel del fingerprinting en la detección de la apropiación de cuentas

Una vez que un atacante tiene credenciales válidas, las contraseñas son inútiles como defensa. Si puede interceptar un código de un solo uso, el MFA también falla. El fingerprinting de navegador añade una capa de detección por debajo de ambos que es más difícil de evadir.

Recopilación de señales ATO: El fingerprint del navegador, los identificadores de hardware, las propiedades de pantalla y los metadatos de red forman una línea base para cada visitante. Cuando partes de esa línea base no coinciden (zona horaria incorrecta, indicios de un navegador headless) se genera una alerta de sesión sospechosa.
Detecta intentos de ATO automatizados de forma temprana: Un dispositivo que prueba decenas de combinaciones de usuario y contraseña. Un navegador que se presenta como Chrome en macOS pero que se ejecuta en un entorno Linux headless. Solicitudes de login a velocidad inhumana desde proxies rotativos. El fingerprinting detecta los bots de credential stuffing que eluden los CAPTCHAs y los limitadores de tasa.

Por qué cside es la mejor opción de fingerprinting para empresas de sitios web de viajes

Imagen del panel de actividad de sesión de fingerprint de cside

cside combina el fingerprinting de navegador con la monitorización de integridad de JavaScript, ofreciendo a las empresas de viajes tanto detección de ATO como detección de web skimming en una sola plataforma.

Detección de bots de IA maliciosos: Detecta navegadores headless que imitan el comportamiento real del usuario para eludir las defensas tradicionales contra bots y ejecutar credential stuffing a escala.
Protege las páginas que los atacantes más atacan: Asegura las páginas de reservas, los portales de cuentas de fidelización y los flujos de pago contra skimming, exfiltración de datos y secuestro de sesiones. cside es una solución líder para la monitorización de scripts según PCI DSS 4.0.1.
Monitorización de scripts de terceros: Vigila cada script que se ejecuta en tu sitio (código de terceros, herramientas de accesibilidad, widgets de reservas, herramientas de analítica, píxeles publicitarios, etiquetas de afiliados) y alerta cuando alguno de ellos comienza a exfiltrar credenciales o datos de pago.
Integración orientada al desarrollador: Señales brutas de fingerprint vía API para reglas de fraude personalizadas, además de agrupaciones de señales curadas listas para usar de inmediato.

Para empezar con cside, regístrate o reserva una demo.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La mayoría de las empresas de viajes combinan tres categorías: proveedores de MFA como Duo o Ping Identity para autenticación escalonada, herramientas de fingerprinting de dispositivos y detección de bots como cside o HUMAN Security para detectar actividad ATO de forma temprana, y suites antifraude como Sift o Forter para la puntuación de riesgo en login, reservas y actividad postventa.

Comienza con MFA basado en riesgo. Ajusta las reglas para contemplar el acceso internacional legítimo. Los clientes inician sesión desde distintos países de forma habitual, por lo que las reglas basadas únicamente en geolocalización generan falsos positivos. Usa fingerprinting de dispositivos y señales de comportamiento para detectar inicios de sesión sospechosos (o intentos de inicio de sesión) y credential stuffing. Refuerza también los flujos de recuperación de cuenta, especialmente en cuentas de fidelización. La mayoría de los equipos se centran en la seguridad del login y olvidan que el restablecimiento de contraseña suele ser la vía de entrada más fácil.

Las señales a nivel de dispositivo suelen ser las más sólidas: un inicio de sesión desde un fingerprint no reconocido, un navegador que no coincide con lo que declara ser, o un mismo dispositivo accediendo a un gran número de cuentas no relacionadas en poco tiempo. También hay indicios de comportamiento. Si alguien inicia sesión y va directamente a transferencias de puntos de fidelización sin explorar destinos, esa sesión es sospechosa.

Sí. cside ofrece una API de fingerprinting que proporciona señales brutas de dispositivo, navegador y red para integrarlas en tu propio sistema de puntuación de fraude. También hay agrupaciones de señales predefinidas si quieres marcar sesiones de alto riesgo de forma inmediata. cside también cubre amenazas del lado del cliente como la inyección de scripts y el secuestro de sesiones, aspectos que las APIs de fingerprinting independientes no abordan.

Las cuentas de viajes son valiosas porque contienen divisas de fidelización que pueden transferirse o revenderse casi al instante, métodos de pago almacenados vinculados a reservas de alto valor, y datos personales que incluyen detalles del pasaporte y perfiles de viajero. Al mismo tiempo, muchas plataformas de viajes priorizan la reserva sin fricciones por encima de la seguridad, y las cuentas de programas de fidelización en particular suelen tener una autenticación más débil que el flujo principal de reservas.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.