Los planes de tus vacaciones podrían verse afectados por bots que generan reservas falsas y colapsan sitios de viajes en el proceso de pago.

A medida que la temporada de viajes de verano alcanza su punto máximo, ha surgido una nueva preocupación que va más allá de los costos de combustible y la fijación de precios impulsada por la demanda. Los expertos han alertado sobre el incremento de tráfico automatizado, que está impactando negativamente en la experiencia de los viajeros al aumentar los precios de los vuelos y dificultar las reservas.

Según el Informe de Bots Maliciosos 2025 de Thales, el sector turístico representó el 27% de toda la actividad relacionada con bots a nivel mundial el año pasado, convirtiéndolo en la industria más atacada. El informe detalla numerosas formas en las que los bots están interfiriendo en las plataformas de viajes en línea. Un problema destacado es el “seat spinning”, donde los bots inician el proceso de reserva sin completar el pago. Al hacerlo, almacenan temporalmente la disponibilidad de asientos, lo que genera una falsa percepción de escasez y afecta los algoritmos de precios.

En algunas situaciones, los bots revenden los boletos que obtienen a través de prácticas de “reventa”, lo que lleva a los clientes reales a enfrentarse a precios inflados o vuelos no disponibles. Además, los ataques utilizan sistemas de mensajería a través de lo que se conoce como “SMS pumping”, que consiste en enviar una gran cantidad de mensajes de texto a números de tarifas premium, lo cual incrementa los costos para las empresas y puede retrasar notificaciones importantes para los clientes.

Tim Ayling, especialista en ciberseguridad de Thales, destacó que “los bots malignos ya no solo están causando caos en línea, están secuestrando vacaciones”. Actualmente, los sitios de viajes están siendo inundados de bots que simulan ser clientes reales, comprando boletos, raspando precios y ralentizando todo el proceso. Con el aumento de las transacciones móviles, el problema se ha hecho más evidente, especialmente para los viajeros de última hora que dependen de actualizaciones en tiempo real.

Los propios bots se están volviendo más fáciles de implementar, y hay un aumento en la disponibilidad de bots simples y accesibles, muchas veces impulsados por herramientas basadas en inteligencia artificial. Esto ya no es un dominio exclusivo de hackers sofisticados; actores de baja habilidad pueden emplear scripts básicos o configuraciones de proxy gratuitas para eludir la seguridad tradicional. Incluso el uso de servicios de VPN y proxy, generalmente asociados con la privacidad, se manipula a veces para ocultar tráfico malicioso, haciendo que los bots parezcan usuarios legítimos accediendo desde diferentes regiones.

Un problema adicional que está surgiendo es el ataque a las APIs, que son las encargadas de los resultados de búsqueda, los motores de precios y los programas de lealtad. Casi la mitad de todos los ataques avanzados ahora se enfocan en estas áreas, entorpeciendo las funciones de backend, lo que puede ralentizar completamente los sitios web o incluso causar que se bloqueen. Los atacantes utilizan técnicas avanzadas para imitar el comportamiento humano genuino, lo que dificulta que las defensas tradicionales puedan detectar y bloquear tráfico dañino. Métodos como CAPTCHA, que antes eran efectivos, ya no son confiables y a menudo frustran más a los usuarios reales que a los bots.

La conclusión es que las defensas tradicionales no son suficientes. Las empresas de viajes requieren un enfoque más inteligente y en capas, bloqueando ataques de suplantación de credenciales y asegurando áreas vulnerables, como los inicios de sesión y los procesos de compra, mediante pruebas continuas y monitoreo de amenazas. En un entorno digital donde la automatización supera ahora el tráfico web humano, el desafío que enfrentan las aerolíneas y los sitios de viajes es menos sobre visibilidad y más sobre precisión.