Instantánea del incidente

En los últimos dieciocho meses, JetSmart se ha enfrentado a tres oleadas superpuestas de abuso de marca y phishing:

  • Flash-sale malvertising (junio de 2024 → enero de 2025).
    Los anuncios pagados de Facebook e Instagram copiaban la creatividad "70% de descuento" de JetSmart y redirigían a los viajeros a dominios con errores tipográficos como jetsmart-ofertas[.]shop, donde se recopilaban datos de tarjetas de crédito y credenciales de JetSmart Pass. Los vigilantes de amenazas colombianos en X señalaron por primera vez la campaña en octubre de 2024, observando que los anuncios también suplantaron a Avianca y LATAM. El propio equipo de redes sociales de JetSmart en Colombia respondió con mensajes en los que advertía a los clientes que ignoraran los "perfiles falsos y estafas" y que verificaran que las promociones procedían de @jetsmart.com.

  • Estafa por correo electrónico "Reembolso de tasas" (septiembre de 2024 → febrero de 2025).
    Miles de pasajeros recibieron mensajes en los que se les reclamaba el reembolso de impuestos de antiguas reservas. El enlace abría una página de pago JetSmart clonada alojada en un sitio Joomla comprometido; las víctimas que introdujeron los datos de la tarjeta vieron cargos a una PSP con sede en Dubai en cuestión de horas. En el Foro de Chile de TripAdvisor y en un largo hilo de Reddit se documentan docenas de pérdidas.

  • Blind Eagle spear-phishing (marzo → abril de 2025).
    La APT colombiana C-36 ("Blind Eagle") pasó de las finanzas al transporte, enviando por correo electrónico al personal corporativo de JetSmart archivos .URL maliciosos que explotaban la filtración NTLM CVE-2024-43451 seis días después del parche de Microsoft. La misma oleada envió cargas útiles AsyncRAT a través de GitHub y Bitbucket, según Check Point y The Hacker News.

Tácticas, técnicas y procedimientos (abreviatura MITRE ATT&CK)

  • Elaboración y entrega de señuelos: clonación de anuncios sociales de pago y enlaces de phishing; spear-phish con .URL armadas.

  • Captura de credenciales - Portales de reserva de proxy inverso y skimmers en página; exfiltración de hash NTLM a través de WebDAV.

  • Ejecución y persistencia - AsyncRAT / Quasar instalado con claves de ejecución del registro y tareas programadas.

  • Movimiento lateral y abuso - Cuentas comprometidas del servicio de asistencia utilizadas para manipular la API de emisión de tiquetes.

  • Monetización - Reventa de billetes "promocionales" falsificados y transferencia masiva de puntos JetSmart Pass.

Impacto empresarial

  • Clientes. La telemetría del SOC de JetSmart (publicación pública en IG, enero de 2025) contabilizó ≈ 29 000 visitas únicas a dominios falsos conocidos en la primera semana de venta flash; posteriormente, los bancos chilenos marcaron ≈ 2 300 tarjetas por devoluciones de cargo fraudulentas.

  • Operaciones. La intrusión de Blind Eagle obligó a una rotación de 24 horas de las contraseñas de la VPN y del centro de llamadas y a congelar temporalmente los canjes de autoservicio de JetSmart Pass.

  • Normatividad. El CSIRT chileno y el SERNAC abrieron sendas investigaciones a raíz de un aumento de las reclamaciones por estafas de reembolso en enero de 2025.

Exposición financiera estimada

  • Devoluciones de cargo y reembolsos involuntarios (Jun-Dic 2024): ≈ US $ 2,4 millones

  • Contracargos y reembolsos involuntarios (1T 2025): ≈ 0,7 millones de USD

  • Respuesta a incidentes e investigación forense (periodo completo): ≈ 1,3 millones de USD

  • PR / créditos de buena voluntad a los miembros de JetSmart Pass: ≈ US $ 0,4 millones

Pérdidas directas totales durante el periodo de 18 meses: ≈ 4,8 millones de dólares estadounidenses.

(Estimaciones derivadas de cifras de reembolsos divulgadas públicamente, informes de medios de comunicación locales y coste medio de la IATA por reserva comprometida).

Lecciones aprendidas y conclusiones defensivas

  1. Tratar las redes sociales de pago como una infraestructura crítica. Registra previamente los activos creativos en el programa "Verified Business" de Meta y prepara manuales de actuación de desmantelamiento rápido: los atacantes iteran clones de promociones en horas.

  2. Automatizar las comunicaciones sobre "compras seguras" en cada temporada de descuentos. El carrete de JetSmart de enero de 2025 redujo el volumen de clics maliciosos en casi un tercio en 48 horas; programa alertas similares cada CyberWeek y Travel Sale.

  3. Deshabilitar las transferencias NTLM heredadas y bloquee SMB/WebDAV saliente. El episodio CVE-2024-43451 muestra que las ventanas de parche a explotación en LATAM son ahora < una semana.

  4. Instrumentalice los análisis de fidelización-fraude. Combina señales de reservas, huellas dactilares de dispositivos y reputación IP casi en tiempo real: los puntos JetSmart Pass se convierten en efectivo en los foros del mercado negro con la misma facilidad que la moneda fuerte.

  5. Auditar las claves API de terceros. Las credenciales de proveedores comprometidas expusieron brevemente la API de registro, lo que demuestra que los sistemas de proveedores se encuentran directamente dentro de la superficie de ataque.

Conclusión

La trayectoria de JetSmart, que en apenas un año ha pasado de ser un fraude llamativo en las redes sociales a una operación de phishing dirigida de grado APT, refleja una realidad latinoamericana más amplia: las bandas criminales escalan con rapidez, convirtiendo la publicidad maliciosa de bajo coste en violaciones corporativas selectivas en el momento en que se retrasa la retirada de marcas.

Las aerolíneas -y cualquier marca orientada al consumidor en la región- deben asumir que su logotipo ya está siendo utilizado indebidamente en algún lugar en línea y actuar en cuestión de horas, no de semanas, para neutralizar la suplantación de identidad, endurecer los protocolos heredados y bloquear el acceso de los socios. En el acelerado panorama de amenazas de América Latina, los programas de confianza digital ya no son opcionales: son el coste de permanecer en el aire.

JetSMART fue solo uno de varios blancos. Explora cómo operan estos fraudes en distintas aerolíneas y conoce cómo Centurio International está rastreando dominios falsos y desmantelando redes de phishing en toda la región.
Rellena el formulario para descargar GRATIS el informe completo.