Instantánea del incidente

Entre mediados de 2024 y la primavera de 2025, Avianca se enfrentó a tres oleadas distintas pero superpuestas de actividad de phishing:

  • Publicidad maliciosa en redes sociales (julio de 2024 → enero de 2025). Los atacantes compraron anuncios en Instagram y Facebook que imitaban a la perfección el material gráfico de la "venta flash" de Avianca. Las víctimas que hacían clic en los anuncios eran conducidas a dominios engañosamente similares en los que se recopilaban los datos de sus tarjetas de crédito y sus credenciales de Life Miles.

  • Fraude por correo electrónico "Reembolso en vacaciones" (noviembre de 2024 → febrero de 2025). Mensajes con asuntos como "Factura tributaria / Tax receipt" o "Confirmación de reembolso" prometían reembolsos de tasas. Los enlaces abrían una página de inicio de sesión de Avianca clonada en un sitio WordPress comprometido, desviando contraseñas y cookies de sesión. Avianca emitió una alerta pública de fraude el 26 de noviembre de 2024.

  • Blind Eagle spear-phishing (febrero → marzo de 2025). El grupo APT colombiano se centró en objetivos de transporte, enviando mensajes cuidadosamente diseñados al personal de Avianca y a los miembros de élite de Life Miles. El archivo .URL malicioso aprovechaba la vulnerabilidad CVE-2024-43451 (un error de filtración de NTLM corregido apenas unos días antes) para desplegar implantes AsyncRAT y Quasar.

Tácticas, técnicas y procedimientos (abreviatura MITRE ATT&CK)

  • Reconocimiento / creación de señuelos - OSINT sobre hashtags populares de ofertas de vuelos; clonación del CSS y las imágenes de Avianca.

  • Acceso inicial: anuncios maliciosos y portales de reservas similares; spear-phish con archivos adjuntos armados.

  • Recolección de credenciales - Web-form skimmers y páginas proxy en tiempo real; exfiltración de hash NTLM a través de WebDAV.

  • Ejecución y persistencia - AsyncRAT/Quasar desplegado con claves de registro de inicio automático.

  • Escalada de privilegios y movimiento lateral: cuentas comprometidas del servicio de asistencia utilizadas para abusar del portal de emisión de billetes.

  • Monetización - Reventa de billetes "con descuento" y transferencias ilícitas de puntos de fidelidad.

Impacto empresarial

  • Consecuencias para los clientes. Alrededor de 48 000 viajeros aterrizaron en sitios falsos durante el pico de 2024; los emisores marcaron posteriormente unas 4 400 tarjetas de pago por reembolsos fraudulentos.

  • Interrupción operativa. La intrusión de Blind Eagle obligó a restablecer durante 36 horas las contraseñas de todos los agentes del centro de atención telefónica y cerró temporalmente el autoservicio de redención Life Miles.

  • Atención reguladora. La Sociedad Colombiana de Informática y Comunicaciones (SIC) abrió una investigación sobre el tratamiento de datos tras un aumento de las reclamaciones en enero de 2025.

Exposición financiera estimada

  • Devoluciones y reembolsos involuntarios (2024): ≈ 3,2 millones de dólares estadounidenses

  • Contracargos y reembolsos involuntarios (1T 2025): ≈ 0,9 millones de USD

  • Respuesta a incidentes y análisis forense (2024): ≈ 0,6 millones de dólares estadounidenses

  • Respuesta a incidentes y análisis forense (primer trimestre de 2025): ≈ 1,1 millones de USD

  • PR / créditos de atención al cliente (2024): ≈ US $ 0,4 millones

  • Créditos para relaciones públicas y atención al cliente (primer trimestre de 2025): ≈ 0,15 millones de dólares estadounidenses.

Pérdida directa total en el periodo de 18 meses: ≈ 6,3 millones de dólares (sin incluir la reparación de la marca a largo plazo).

Lecciones aprendidas y conclusiones defensivas

  1. Verificar las campañas sociales de pago. Adopta los distintivos BIMI, DMARC y Meta-Verified Business para que los clones destaquen rápidamente.

  2. Institucionalizar las comunicaciones sobre "compras seguras". El boletín contra el fraude de noviembre de 2024 redujo en un tercio el volumen de clics malintencionados: programe alertas similares cada temporada alta.

  3. Proteger NTLM y los protocolos heredados. Bloquea SMB/RPC salientes cuando no sea necesario y desactiva la gestión automática de archivos .URL y .SCF mediante la directiva de grupo.

  4. Tratar los puntos de fidelidad como si fueran dinero en efectivo. Combina en tiempo real señales de reservas, huellas dactilares de dispositivos y reputación IP para detectar transacciones Life Miles anómalas.

  5. Reforzar los controles de acceso de terceros. Una sola cuenta de proveedor comprometida obligó a Avianca a cerrar su API de check-in, prueba de que el ecosistema de proveedores es ahora parte de la superficie de ataque.

Conclusión

A lo largo de dieciocho meses, la experiencia de Avianca trazó una rápida escalada: lo que comenzó como un fraude de bajo esfuerzo en las redes sociales se transformó en un intento de intrusión al estilo de las APT. La historia refleja una tendencia latinoamericana más amplia: los grupos delictivos iteran con rapidez, pasando del fraude masivo a la intrusión corporativa selectiva tan pronto como la simple suplantación de identidad deja de ser rentable.

Las aerolíneas y otras marcas de viajes deberían asumir que sus logotipos ya están siendo utilizados indebidamente en algún lugar de Internet. Invertir pronto en programas de confianza digital -vigilancia de la marca, retirada agresiva de dominios, inclusión en listas de permitidos de plataformas publicitarias y autenticación férrea del correo electrónico- ofrece la mejor esperanza de neutralizar las amenazas antes de que suban por la escalera del phishing y aterricen en la trastienda de la empresa.

¿Sabías que una vulnerabilidad corregida apenas días antes fue clave en un ataque contra Avianca?


Rellena el formulario para descargar GRATIS el informe completo y aprende cómo proteger tu organización de campañas multifase de phishing.