El acusado de hackear Aerolíneas Argentinas y viajar por el mundo pidió la libertad: cuántos años puede ir preso

La defensa de Juan Ignacio Veltri pidió este miércoles que se anule la prisión preventiva dictada en su contra. El joven está acusado de hackear el sistema de millas de Aerolíneas Argentinas para comprar vuelos por valores ridículamente bajos.

En el mismo escrito, también cuestionó la resolución judicial. Reclamó su inmediata libertad y pidió que se revise por completo su situación procesal.

Veltri había estado una semana con prisión domiciliaria. Tras la revocación de ese beneficio, fue trasladado a una comisaría de la Ciudad de Buenos Aires, donde todavía permanece porque no hay cupo para derivarlo a un penal.

"Vengo a solicitar se declare la nulidad del mismo y se disponga, consecuentemente, la inmediata libertad de mi defendido", escribió su abogado. La presentación fue hecha ante el Juzgado Federal N° 7, a cargo de Sebastián Casanello.

Veltri podría enfrentar, si la causa avanza, hasta seis años de prisión

Por qué el juez endureció la situación de Veltri

En el propio recurso, la defensa expone cuál fue el argumento central que usó Casanello para endurecer la medida. El juez consideró que había "riesgo de entorpecimiento de la investigación".

Según cita el escrito, el imputado "contactó a los testigos para incidir en su declaración". Por eso revocó la prisión domiciliaria y avanzó con la prisión preventiva.

En paralelo, la Justicia ya le trabó un embargo por $910 millones. Una cifra que la propia defensa usó para argumentar que ya existe una fuerte restricción patrimonial sobre su cliente.

La estrategia busca desarmar esa decisión con un planteo de nulidad. Sostiene que la prisión preventiva fue dictada de oficio por el juez, sin un pedido expreso de la fiscalía ni de la querella, algo que, según el escrito, no está permitido por el Código Procesal Penal Federal.

Además, remarca que la resolución no fijó un plazo concreto para la detención. Un punto que la defensa considera una irregularidad procesal grave.

Los abogados de Veltri también apelaron a la resolución. Pidieron que, si no lo liberan, al menos le restituyan la prisión domiciliaria.

Como alternativa, solicitaron que le impongan una medida menos gravosa, como una tobillera electrónica. Además, pidió el sobreseimiento del acusado, al sostener que no hay pruebas suficientes para sostener la acusación en su contra.

Según habían contado fuentes de la aerolínea de bandera, el caso salió a la luz cuando se detectaron "maniobras efectuadas sobre el sistema de compra de millas del programa AR Plus".

El objetivo era "modificar, de forma indebida, el monto a pagar y la cantidad de millas acreditadas". Veltri, quien había trabajado para Mercado Libre y la empresa de ciberseguridad local Strike, logró comprar un equivalente a u$s500.000 en millas.

Sólo pagó $200.000 argentinos.

Cómo hizo el acusado para hackear el sistema y estafar a Aerolíneas Argentinas

La explotación de la vulnerabilidad fue, dentro del mundo de la seguridad informática, relativamente simple. Veltri alteraba el código fuente de la página al momento de comprar millas.

En lugar de rebotar, la solicitud era validada por la aerolínea. Así de fácil.

Es un tipo de falla más común de lo que parece. Hay un antecedente que llegó a medios de todo el país en 2020, cuando un hacker logró cambiar la cotización del dólar en Banco Nación para comprar divisas a un precio más bajo.

No por esto dejó de llamar la atención. Es un descuido muy grande para una empresa del tamaño de Aerolíneas Argentinas, catalogado como "papelón" entre fuentes del sector de la ciberseguridad local.

Por este motivo, Veltri podría enfrentar un escenario con una pena máxima de hasta seis años de prisión.

La presunta alteración del sistema ocurrió entre diciembre de 2023 y enero de 2025. Veltri habría tenido más de un año para abusar del sistema sin que saltara ninguna alarma interna.

Qué delito investiga la Justicia y cómo se aplica

La figura que analiza la Justicia es la de "manipulación de sistema informático". Fue incorporada al Código Penal en 2008 dentro del artículo 173, inciso 16.

Se trata, en términos simples, de un tipo penal pensado para los casos en los que alguien altera o interviene un sistema para obtener un beneficio indebido.

"Es el tipo penal pensado para los casos en los que alguien manipula un sistema para obtener un beneficio indebido", explica el abogado especialista en delitos informáticos Pablo Palazzi.

En este caso, la hipótesis es que se manipularon los sistemas de Aerolíneas para generar o acreditar millas de forma ficticia y así emitir pasajes sin pagar.

En el expediente, uno de los puntos que más complica al acusado es la trazabilidad de las operaciones. Según Palazzi, la prueba aparece como "bastante obvia".

Los pasajes fueron utilizados sin que exista un pago real. Muchas de las operaciones quedaron asociadas a su propio nombre, tarjeta de crédito y entorno cercano.

Además, hay terceros beneficiados (amigos y familiares, como publicó La Nación, que viajaron con esas millas) que también quedaron registrados. Esto amplía el alcance del caso.

Por qué el argumento del error del sistema no alcanza como defensa

En cuanto a la estrategia de defensa, uno de los argumentos posibles es que todo se debió a un error del sistema. Pero ese planteo tiene un límite claro en derecho penal, advierte Palazzi.

"No es una justificación que la página tenía un error. Si alguien deja la puerta abierta de una concesionaria y yo entro a llevarme un auto, no me exime del dolo, estoy robando un vehículo", resume.

"El punto central es la intención, porque si la persona sabía que no tenía derecho a ese beneficio, el aprovechamiento de la falla no lo exime de la culpabilidad", sentencia.

El caso además podría abrir un frente civil. Aerolíneas Argentinas puede accionar contra la empresa encargada de la seguridad del sistema, llamada Valtech, si considera que hubo fallas de seguridad o negligencia en los estándares aplicados.

"Lo que es llamativo no es el error que tenía el sistema, puesto que muchas empresas tienen estas fallas. Lo realmente increíble es que el error estuvo ahí durante más de un año y no saltó ninguna advertencia interna: sin vueltas, es una vergüenza total para Aerolíneas Argentinas porque le costó medio millón de dólares", dijo un hacker consultado por Clarín.

Cuántos años de cárcel puede recibir el acusado

Veltri podría enfrentar, si la causa avanza, hasta seis años de prisión. Sin embargo, en un escenario de primera condena, lo más probable sería que la pena fuese en suspenso si quedara por debajo de los tres años.

Así lo permite el artículo 26 del Código Penal. Incluso, el caso tiene otro camino posible, que sería resolverse mediante una suspensión del juicio a prueba (probation).

No habría condena efectiva, pero el imputado debería cumplir reglas de conducta durante un período determinado. Realizar tareas comunitarias y ofrecer alguna forma de reparación económica.

"Es un pibe joven y sin antecedentes, con lo cual es probable que, aún condenado, la pena sea leve en los hechos", decían en los pasillos de Comodoro Py.

"Lo que sí, se le puede pedir que devuelva el medio millón de dólares por el cual tuvo los viajes", agregaban, en lo que sería un escenario muy comprometedor para la economía del acusado.

A nivel jurídico, la situación en la que está Veltri tampoco es gratuita. Aunque no terminase en prisión, el proceso dejaría huella.

El procesamiento figura en los antecedentes durante años y puede tener impacto concreto en la vida personal y laboral. "Aunque sea un delito no violento, las empresas miran estos antecedentes", advierte Palazzi.

Qué son los programas Bug Bounty y por qué no existían en Aerolíneas

Dentro del mundo del hacking existe una práctica conocida como Bug Bounty. Son programas oficiales en los que empresas (e incluso gobiernos) pagan a hackers por encontrar y reportar vulnerabilidades.

Muchas aerolíneas tienen estos sistemas (United, Lufthansa, LATAM, entre otras) y bonifican a usuarios que les reportan problemas.

Vale aclarar dos cuestiones. Primero, que Aerolíneas Argentinas no tiene un programa de recompensas. Parte del argumento de Veltri es que el problema ya había sido reportado pero la vulnerabilidad no había sido parcheada.

Y segundo, que las aerolíneas en general suelen tener más problemas de este tipo que los que se cree. En 2024, dos hackers argentinos mostraron en Ekoparty, la conferencia de hackers más grande de América Latina, cómo se podían alterar reservas tan sólo con el apellido y número de reserva de un pasajero.

Un hacker argentino, que pidió no ser identificado, lo resume así: "Hace bastantes años, el Bug Bounty no existía y los hackers no tenían un marco legal para 'buscar cosas' si no estaban debidamente contratados por la empresa. El concepto vino a terminar con ese problema".

"Lo que hizo este pibe es una guasada: una vez entré al sistema de gestión de empleados de una aerolínea y me bonificaron con 500 mil millas. En este caso hablamos de más de 16 millones de millas, en perspectiva, es una locura lo que se llevó", señala, advirtiendo que "era obvio que iba a saltar la ficha".

El especialista también describe que no todas las compañías manejan el tema de la misma manera. Algunas tienen sistemas de recompensas activos mientras que otras solo aceptan reportes sin pagar, bajo esquemas llamados Vulnerability Disclosure Program (VDP).

"Hay empresas que directamente no pagan. Eso también influye en cómo se mueve la comunidad", explica.

En paralelo, advierte sobre una zona gris dentro del propio ecosistema: investigadores que buscan fallas en empresas que no tienen programas activos y luego intentan negociar una recompensa. "Veo a muchos colegas haciendo eso y estoy totalmente en desacuerdo. Me suena un poco extorsivo", plantea.

Qué pasa con los otros 50 implicados en el caso

Mientras tanto, Veltri no es el único investigado. Hay otros 50 implicados que se habrían beneficiado de estas operatorias durante más de un año.

Pero el que está detenido sólo es él. Los demás continúan en libertad mientras avanza la investigación.

La causa seguirá con una audiencia para tratar el planteo de nulidad. Después deberá expedirse el fiscal Guillermo Marijuán sobre la prisión preventiva y el procesamiento.

El expediente podría ser elevado a la Cámara Federal para que revise la apelación de la defensa. Un paso clave para definir si Veltri recupera su libertad o permanece detenido hasta el juicio.