No saques fotos a tus pasajes de avión, te puedes quedar sin abordar

Dos investigadores alemanes demostraron qué fácil es ver y cambiar nuestros datos en las bases de datos de reservas de vuelos.

En la Chaos Computer Club, una conferencia que se celebra anualmente en Berlín, un grupo de investigadores europeos ha demostrado la escasa seguridad y privacidad de los sistemas de reservas de vuelos a nivel mundial.

Estas plataformas, conocidas como GDS, son las que coordinan la información de pasajeros en el mundo y operan bases de datos a las que las agencias de viajes, aerolíneas, empresas de alquileres y otras agencias se conectan para operar en su día a día. Los resultados de la investigación son altamente preocupantes, con ya que demostraron que se puede encontrar fácilmente información personal de los viajeros, e incluso cambiar o cancelar los pasajes o asociar una tarjeta “de millas” propia a cualquier viaje.

Karstein Nohl y Nemanja Nikodejevic son los investigadores alemanes que realizaron una investigación con fines éticos y avisado a varias de las empresas miembros de esta tela de araña de servicios para que protejan sus datos, pero sus conclusiones son increíblemente alarmantes.

 b13khwusg_720x0
En su conferencia, de 50 minutos, demostraron cómo los códigos de barras impresos en los billetes de vuelo o que van pegados en el equipaje, contienen información personal y privada del viajero. Y que cualquier lector de códigos de barras gratuito en un smartphone o en una página web es capaz de leer. Un elemento técnico que es conocido desde hace décadas. Lo que es nuevo es la cantidad de personas que suben fotos de sus billetes de avión o sus reservas a redes sociales como Instagram o Twitter, listos para que cualquier pueda encontrarlos y ver sus datos.
Los investigadores demostraron en directo con una foto de Instagram cómo podían obtener todos los datos personales asociados al billete: nombre, apellidos, email, número de tarjeta de crédito utilizada para pagar, dirección de residencia, etc. Y averiguar las fechas y horas de los vuelos asociados.

Tener estos datos les permitía utilizar el sistema de reserva online de la aerolínea para cambiar la fecha del vuelo. E incluso, en determinadas aerolíneas, solicitar un cupón para comprar otro pasaje bajo otro nombre y, potencialmente, viajar gratis. Algo de lo que el comprador legítimo no se enteraría hasta que no llegase a la terminal y encontrase que su pasaje había sido cancelado.
Continuando con su trabajo, encontraron que los códigos de reserva asociados a cada billete -una cadena de texto de 6 caracteres con algunas limitaciones- tenía patrones que disminuían la cantidad de variaciones posibles, reduciendo así el número total de posibilidades con el que encontrar una reserva de vuelo válida que cambiar.

Cuidado con lo que publicás en Instagram, podrías quedarte sin tu vuelo
Boarding pass (Roma_ / Getty Images)

De este modo demostraron la facilidad con la que se podían generar códigos válidos, y que los sistemas de múltiples aerolíneas del mundo les permitían hacer miles de peticiones buscando reservas válidas. Normalmente las líneas aéreas -no todas- solicitan el primer apellido además del código de reserva, lo que convierte a este “ataque” en algo extremadamente peligroso contra personas con apellido común, como García, Smith, Wang o Ahmed, aunque deja sin protección a todos.
Los investigadores también anunciaron que habían encontrado patrones que indicaban que los códigos de reserva eran generados en un orden concreto, y se podían crear programas capaces de buscar y averiguar datos personales de reservas recién hechas y conseguir los datos de pago del viajero enviándole un email falso solicitando que cambiara sus datos.

Varias aerolíneas y sitios de reserva han actualizado sus plataformas después de ser informadas por Nohl y Nikodejevic, pero aún quedan muchos eslabones por solucionar. Nohl aprovechó los últimos minutos de la conferencia para preguntarse si, dada la facilidad con la que ellos los habían obtenido, estos datos no estaban en manos de agencias de espionaje de todo el mundo.

La Vanguardia

MÁS NOTICIAS
Río marrón… y picado: Prefectura San Lorenzo debió rescatar a tres pescadores que no podían volver a tierra

Río marrón… y picado: Prefectura San Lorenzo debió rescatar a tres pescadores que no podían volver a tierra

Los navegantes partieron esta madrugada desde San Lorenzo y llegaron a Timbues. El río se mantiene en alerta por las condiciones meteorológicas.

Millonaria inversión en Terminal 6 para cogenerar energía limpia

Millonaria inversión en Terminal 6 para cogenerar energía limpia

Con una inversión millonaria Terminal 6 podrá aportar más de 330 megawatt (Mw) al sistema interconectado nacional con energía limpia, ya que es generada con la reutilización de vapores generados en las calderas para el proceso primario

Alerta meteorológica por lluvias y tormentas para San Lorenzo y toda la región

Alerta meteorológica por lluvias y tormentas para San Lorenzo y toda la región

El Servicio Meteorológico Nacional prevé una importante acumulación de agua a partir de esta madrugada.