Era diciembre de 2023. Juan Ignacio Veltri vivía por entonces en Madrid, España. Y quería sacar un pasaje para visitar a su familia en Argentina. Entonces entró en la página de Aerolíneas Plus para poder comprar las millas que le faltaban para ese pasaje. Notó -gracias a sus conocimientos como desarrollador de software y de seguridad informática, con experiencia laboral en empresas como Mercado Libre y hasta el incidente público en Strike- que algo no estaba bien en el sitio web. Probó de comprar, pero no de la manera convencional, como haría cualquiera: se dio cuenta que una vulnerabilidad le permitía decidir a él el precio de esas millas extra. Entonces hizo clic. Era tal la oportunidad que incluso sumó un pasaje más, que luego ni siquiera usaría. Se dejó, sí, el mejor de los dos; el que era en business para sorprender a su padre en su cumpleaños de enero de 2024.

Eso fue apenas el comienzo de una larga historia que terminó a principios de 2025, cuando por motivos que aún se desconocen el caso emergió de la oscuridad digital: un alerta le avisó a la compañía que alguien estaba comprando millas a precio vil. La estafa se había terminado.

Viajemos todos

Veltri encima hacía públicas sus hazañas: viajes por todo el mundo (Roma, en Italia; Dubai, en los Emiratos Árabes; Punta Cana, en República Dominicana, y Cancún, en México) e incluso le contaba a sus más cercanos cómo lo estaba haciendo. Primero, a sus amigos argentinos en España. Luego, pidiéndole la cuenta a sus padres, a quienes les dijo que él les iba a manejar “el tema” y que “cualquier cosa le preguntaran”.

Todos ellos son los que la Justicia investiga como parte de una maniobra fraudulenta, en la que están involucradas al menos 176 personas y un perjuicio total que por más 1.320.479 dólares. Veltri habría comprado 16.595.000 millas a 200 mil pesos. La empresa considera que el valor real es 30 dólares cada 1000 millas, aproximadamente.

Todo comenzó tras una denuncia presentada por Aerolíneas Argentinas ante la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), a cargo del fiscal general Horacio Azzolin. En el círculo de Veltri aparecen 50 conocidos, tal como detalla la investigación del fiscal federal Guillermo Marijuan y que está en el juzgado del juez Sebastián Casanello. Hubo desde viajes individuales hasta propuestas especiales para amigos.

Una revisión manual que fallaba siempre

Veltri, tras pasar una noche en pabellón común, actualmente está en prisión domiciliaria con sus padres como garantes del cumplimiento de la misma. Son los mismos que -además de tener cuenta en AR Plus- todavía no entienden por qué ellos incluso podrían estar involucrados. Alguna vez, cuenta entre sus allegados, Veltri dice haber intentado dialogar con la empresa para reportarles el problema pero nunca le respondieron. Volvió una y otra vez a comprar millas y, cada vez que eso ocurría, le caían en “revisión manual”. Al rato (a veces minutos, a veces horas) se lo aprobaban.

Amigos y conocidos le preguntaban, y él les contaba cómo era que hacía, y le pedían que se los hiciera en su cuenta. Veltri dirá que nunca les cobró. Casi siempre -sostuvo- usó la tarjeta de ellos (a veces la suya), pero en esos casos le transferían el valor de la acreditación de millas. La elección era libre: cada uno se sacaba el vuelo que quería con su cuenta. No ponía restricciones ni nada; si necesitaban más millas le pedían y se las cargaba.

La revisión manual siempre actuaba a su favor. “Hola, ¿Juan Ignacio Veltri? ¿Usted acreditó estas millas para una tal BM?”. Él asentía. Del otro lado, le advertían de un posible robo de tarjeta. “Perfecto, Juan, ahí volvemos a acreditar las millas”. Así, una y otra vez.

Pero de fondo estaba el mecanismo, siempre vigente. Cuando Veltri entraba a comprar millas, aparecía efectivamente un ítem con la cantidad que quería comprar. Ese es un valor que controla el usuario. Podía poner 10, 20, 30 o 110 mil. Libre elección, como siempre. Lo curioso era que al abrir el código fuente, se podía manipular el casillero del precio, algo que debería ser imposible de hacer desde el lado del cliente.

El informático seguía el flujo de comprar millas, y a la hora de mandar la orden de compra, él decidía cuánto era el costo total, por un valor arbitrario. De fondo había un agujero de seguridad: el valor de las millas las tiene que definir Aerolíneas, y no el que hace la compra. Lo lógico. La operación daba error. Pero las millas se acreditaban.

Por tanto, había tres problemas: primero, la API (la Interfaz de Programación de Aplicaciones, que permite que distintos programas o sistemas se comuniquen entre sí) no controlaba el valor del precio; luego, tampoco validaba a posteriori que ese precio por milla estaba sencillamente mal o demasiado barato. Y por último, todo se acreditaba sin más.

Eso mismo fue admitido por Valtech, la empresa encargada del sistema, en un informe de auditoría. A eso hay que sumarle que también había más problemas en otra interfaz. Y graves. Había un motor de promociones que se podía manipular, que adjudicaba millas por sobre las que se podían comprar. Por ejemplo, la función decía: comprá 100 y regalaban 10. Pero con el mismo mecanismo (la función del lado del usuario) se podía cambiar y hacer que el 10 se transforme en 100.000. Ambos problemas fueron corregidos una vez que se encontraron con la compra masiva.

En esos casi dos años, Veltri compró millas para amigos, amigos de amigos o conocidos. Hasta que lo bloquearon, tenía muchos vuelos sacados a futuro, de él y de conocidos, que se cancelaron. Por ahora perdió aquello que pagó en impuestos. y le prohibieron volver a subirse a un vuelo de Aerolíneas Argentinas. Ahora debe esperar a que la Justicia decida cómo seguir su caso.