Los billetes que se tiran en los aeropuertos o los documentos extraviados en hoteles o estaciones siguen siendo una fuente de información
26 jul 2025 . Actualizado a las 05:00 h.El aumento de los viajes internacionales ha ido acompañado de un repunte en el tráfico ilegal de documentos personales vinculados al turismo. Un estudio conjunto de las compañías de ciberseguridad NordVPN y Saily revela que pasaportes escaneados, visados, cuentas de fidelización de aerolíneas e incluso reservas en plataformas de alojamiento se venden en la dark web —la parte oculta de internet a la que solo se accede con navegadores especiales y donde proliferan mercados ilegales— a precios muy por debajo de su valor real. La información que viaja junto a cada pasajero —a menudo mal protegida o almacenada sin medidas de seguridad— se ha convertido en un objetivo prioritario para los ciberdelincuentes.
Según el informe, los pasaportes digitalizados pueden adquirirse por algo más de ocho euros. Los documentos verificados, especialmente si proceden de países de la Unión Europea, alcanzan cifras mucho más elevadas: hasta 5.500 euros por unidad. También circulan visados de trabajo, extractos bancarios falsos o reservas hoteleras revendidas con descuentos de hasta el 50 %. Otro producto habitual son las cuentas de fidelización, los sistemas de puntos o millas que ofrecen las aerolíneas a sus clientes habituales y que pueden canjearse por vuelos, mejoras o servicios exclusivos. En la dark web se venden cuentas con millones de millas acumuladas por entre 30 y 650 euros. En algunos casos, los paquetes de viaje robados se ofrecen completos por unos 230 euros.
«Los asombrosos precios que estamos viendo en la dark web demuestran lo valiosa y vulnerable que se ha vuelto la información personal de los viajeros», advierte Marijus Briedis, director de tecnología de NordVPN.
Un mercado en auge
Los ciberdelincuentes obtienen estos documentos por distintas vías. En muchos casos, emplean programas maliciosos que buscan archivos sensibles almacenados en dispositivos móviles o servicios en la nube. También son frecuentes las brechas de seguridad en plataformas oficiales —aerolíneas, agencias de viajes o portales de solicitud de visados—, que permiten la filtración masiva de datos.
Otro método habitual consiste en crear páginas fraudulentas que imitan portales legítimos y solicitan al usuario que suba sus documentos de identificación. Incluso carpetas mal configuradas en la nube, con enlaces públicos abiertos, pueden ser detectadas y explotadas con herramientas de búsqueda especializadas.
El robo físico tampoco ha desaparecido. Las tarjetas de embarque que se tiran en los aeropuertos o los documentos extraviados en hoteles o estaciones siguen siendo una fuente de información. En muchos casos, basta con escanear estos objetos para que pasen a formar parte del mercado negro digital.
«Los viajeros denuncian estafas de phishing generadas por inteligencia artificial, desde plataformas de check-in falsas que piden una selfie con el pasaporte hasta registros fraudulentos de wifi en salas de espera», explica Vykintas Maknickas, responsable de la empresa tecnológica Saily.
Identidades en venta
Los documentos de viaje son especialmente valiosos porque permiten acceder con facilidad a servicios que apenas requieren verificación. Muchas plataformas aceptan un escaneo de pasaporte y una fotografía para autenticar la identidad de una persona. Esa debilidad en los sistemas de control facilita que se usen técnicas como el deepfake para simular la imagen del titular y acceder a servicios financieros o de transporte.
Además, los registros de pasajeros incluyen habitualmente información adicional como el nombre completo, fecha de nacimiento, dirección de correo electrónico, número de teléfono e incluso datos de contacto de emergencia. Todo ese conjunto —conocido en el argot criminal como fullz— permite realizar fraudes dirigidos y difíciles de detectar.
«Los documentos de viaje son una mina de oro para los hackers porque ofrecen acceso directo a tu identidad con barreras mínimas», señala Briedis. Con un perfil completo, los delincuentes pueden abrir cuentas, solicitar préstamos o diseñar ataques de ingeniería social adaptados al contexto del usuario.