La temporada alta de viajes de verano está en marcha. Cientos de millones de viajeros reservarán vuelos, revisarán confirmaciones, responderán a ofertas de mejora de asiento y recibirán notificaciones de equipaje en las próximas semanas. Cada uno de esos correos es una superficie que los atacantes pueden explotar – y el sector aéreo ha hecho menos para proteger esa superficie que casi cualquier otro sector importante.
El análisis de Proofpoint sobre las 296 aerolíneas miembro de la Asociación de Transporte Aéreo Internacional (IATA) encontró que el 61 por ciento no tiene ningún registro DMARC publicado – el registro DNS fundamental que permite a los servidores de correo receptores verificar si un email que dice provenir del dominio de una aerolínea fue enviado realmente por esa aerolínea.
El panorama de aplicación es aún peor. De las aerolíneas que sí tienen un registro DMARC, la mayoría ha configurado su política en p=none, lo que instruye a los servidores receptores a no tomar ninguna acción sobre el correo no autorizado y simplemente reportarlo. En el nivel de aplicación más estricto, p=reject, solo el 7 por ciento de las aerolíneas mundiales bloquea activamente los correos fraudulentos para que no lleguen a las bandejas de entrada de los pasajeros. El 93 por ciento no lo hace.
Qué Puede Hacer un Atacante con un Dominio Sin Aplicación Estricta
Cuando el dominio de una aerolínea carece de aplicación DMARC, un atacante puede enviar un correo que parece provenir de la dirección exacta de esa aerolínea y llegará directamente a la bandeja de entrada del destinatario – indistinguible de una comunicación genuina.
Los escenarios de ataque son específicos y de alto valor:
Confirmaciones de reserva falsas. Después de que un viajero realiza una reserva real, un atacante puede enviar un mensaje suplantado de “pago fallido” o “la reserva requiere confirmación” desde el dominio de la aerolínea. El viajero, esperando un correo de esa compañía, hace clic en el enlace y proporciona credenciales de pago a un sitio fraudulento.
Avisos de cancelación fraudulentos. Los correos de cancelación o reemisión suplantados crean urgencia que impulsa a los viajeros a actuar rápidamente, a menudo sin verificar la fuente. Estos mensajes son especialmente efectivos durante los períodos de viaje pico, cuando los cambios de vuelo son frecuentes y los viajeros están ansiosos por posibles interrupciones.
Robo de programas de fidelización. Las cuentas de viajero frecuente son objetivos de alto valor. Los correos suplantados de “verifica tu cuenta” o “actividad inusual detectada” desde dominios de aerolíneas se usan para capturar credenciales y vaciar millas acumuladas.
Ventas adicionales de servicios. Los viajeros están acostumbrados a recibir ofertas de mejora de asiento y embarque anticipado de las aerolíneas. Un correo suplantado que ofrece una mejora de pago es difícil de distinguir de una comunicación legítima cuando llega desde el dominio de envío real de la aerolínea.
El Desglose por Región
El análisis de Proofpoint encontró que las brechas de aplicación DMARC existen en todas las regiones, pero la gravedad varía considerablemente.
China y el Norte de Asia tiene la tasa de adopción de DMARC más baja entre las regiones miembro de la IATA: el 85 por ciento de las aerolíneas de esa región no tienen ningún registro DMARC, y el 100 por ciento no ha implementado p=reject – lo que significa que cero aerolíneas en esa región bloquean activamente el correo fraudulento enviado en su nombre.
Europa y Oriente Medio y África tienen cada una el 93 por ciento de aerolíneas sin aplicación de p=reject. APAC y Las Américas son marginalmente mejores con el 89 por ciento sin aplicación – aunque “marginalmente mejor” es un término difícil de usar cuando la cifra sigue significando que la gran mayoría de aerolíneas en esas regiones no protegen sus dominios al nivel más estricto.
Un detalle que merece atención: la propia IATA – la organización del sector – ha implementado una política completa de p=reject. La asociación cuyos miembros representan colectivamente el 82 por ciento del tráfico aéreo mundial tiene la protección correcta en marcha. Sus miembros, como grupo, no la tienen.
El Contexto de Verano No Es Casual
Las aerolíneas envían más correo durante la temporada de viajes pico que en cualquier otro momento del año. Los volúmenes de reservas son elevados. Las notificaciones de cambios de vuelo son frecuentes. Los viajeros reciben comunicaciones de múltiples aerolíneas, hoteles, empresas de alquiler de coches y proveedores de seguros simultáneamente – creando exactamente el entorno ruidoso en el que un correo suplantado es más difícil de detectar.
Los investigadores que rastrean el fraude relacionado con los viajes documentaron un aumento del 340 por ciento en el fraude de reservas vacacionales en 2026. Los datos de encuestas muestran que el 38 por ciento de los viajeros afirma haber encontrado una estafa relacionada con los viajes – y de los que lo hicieron, el 41 por ciento perdió dinero, con casi la mitad perdiendo 500 dólares o más.
El FBI emitió una advertencia dedicada para el verano de 2026 citando específicamente los correos electrónicos suplantados de confirmación de reservas de aerolíneas y hoteles como el mecanismo principal de entrega para las campañas de phishing relacionadas con los viajes. El mecanismo que el FBI describe – recibir un correo que parece provenir de una aerolínea, con un enlace a una página fraudulenta de pago o verificación – es exactamente lo que la aplicación DMARC en p=reject está diseñada para prevenir a nivel de servidor.
Por Qué las Aerolíneas Específicamente Tienen Dificultades con DMARC
Las aerolíneas operan algunos de los entornos de envío de correo más complejos de cualquier sector. Una aerolínea importante típicamente tiene docenas de remitentes autorizados: la plataforma principal de reservas y fidelización, servicios externos de notificación del estado de vuelo, comunicaciones de tarjetas de crédito con marca compartida, mailings de agencias de viajes y alertas operativas de aerolíneas asociadas en código compartido.
Esta complejidad hace que la alineación SPF y la firma DKIM que requiere DMARC sean más difíciles de implementar correctamente en todos los remitentes autorizados. El registro SPF de una aerolínea importante a menudo ya está cerca del límite de 10 consultas, y garantizar que cada sistema de envío tenga DKIM correctamente configurado requiere un esfuerzo coordinado en múltiples relaciones con proveedores simultáneamente.
Esta complejidad es un desafío real para la aplicación estricta. No explica el 61 por ciento de aerolíneas que no tienen ningún registro DMARC en absoluto.
Una política p=none – el punto de partida que proporciona informes sin afectar el flujo de correo – requiere un único registro DNS TXT y ningún cambio en la infraestructura de correo existente. Publicar p=none convierte un dominio de invisible a monitorizado. No bloquea ningún correo. No requiere coordinación con cada ESP o proveedor de notificaciones. Es el paso mínimo, y casi dos tercios de las aerolíneas miembro de la IATA no lo han dado.
DMARC como Protección al Pasajero
La mayoría de las discusiones sobre DMARC enmarcan el estándar desde la perspectiva del propietario del dominio: evita que tu dominio sea utilizado para atacar a otros. Esa perspectiva es exacta pero incompleta.
Para los viajeros, la aplicación DMARC en p=reject en el dominio de la aerolínea significa que una confirmación de reserva suplantada no puede llegar a ellos – no porque su cliente de correo la haya marcado, sino porque el servidor receptor la rechazó a nivel SMTP antes de que entrara en su bandeja de entrada. La protección opera completamente antes de que llegue al destinatario.
Cuando una aerolínea no aplica DMARC, esa protección no existe. Si un mensaje que dice provenir de la aerolínea es genuino o fraudulento es una pregunta que el servidor de correo receptor no puede responder de forma autorizada. Los ciberdelincuentes que comprenden los patrones de aplicación DMARC atacan específicamente los dominios sin aplicación porque la ausencia de una política p=reject garantiza a sus mensajes suplantados un camino libre hasta la bandeja de entrada.
La cifra del 93 por ciento no es un sector en progreso hacia la protección. Es un sector que, en conjunto, aún no ha decidido que proteger el canal de email utilizado por sus clientes es una prioridad. La temporada alta de viajes de verano es el período en el que el coste de esa decisión recae más directamente sobre los pasajeros.
¿Listo para proteger tu dominio de envío como debería hacerlo tu aerolínea? Excello Mail hace que el monitoreo y la aplicación de DMARC sean sencillos – desde el primer registro DNS hasta el p=reject completo. Regístrate gratis en Excello Mail y descubre exactamente qué está enviando en nombre de tu dominio.