San Lorenzo, Santa Fe, Argentina. º

Lunes, 2 de Enero de 2017

No saques fotos a tus pasajes de avión, te puedes quedar sin abordar

Dos investigadores alemanes demostraron qué fácil es ver y cambiar nuestros datos en las bases de datos de reservas de vuelos.
  • No saques fotos a tus pasajes de avión, te puedes quedar sin abordar
  • No saques fotos a tus pasajes de avión, te puedes quedar sin abordar

En la Chaos Computer Club, una conferencia que se celebra anualmente en Berlín, un grupo de investigadores europeos ha demostrado la escasa seguridad y privacidad de los sistemas de reservas de vuelos a nivel mundial.

Estas plataformas, conocidas como GDS, son las que coordinan la información de pasajeros en el mundo y operan bases de datos a las que las agencias de viajes, aerolíneas, empresas de alquileres y otras agencias se conectan para operar en su día a día. Los resultados de la investigación son altamente preocupantes, con ya que demostraron que se puede encontrar fácilmente información personal de los viajeros, e incluso cambiar o cancelar los pasajes o asociar una tarjeta “de millas” propia a cualquier viaje.

Karstein Nohl y Nemanja Nikodejevic son los investigadores alemanes que realizaron una investigación con fines éticos y avisado a varias de las empresas miembros de esta tela de araña de servicios para que protejan sus datos, pero sus conclusiones son increíblemente alarmantes.

 b13khwusg_720x0
En su conferencia, de 50 minutos, demostraron cómo los códigos de barras impresos en los billetes de vuelo o que van pegados en el equipaje, contienen información personal y privada del viajero. Y que cualquier lector de códigos de barras gratuito en un smartphone o en una página web es capaz de leer. Un elemento técnico que es conocido desde hace décadas. Lo que es nuevo es la cantidad de personas que suben fotos de sus billetes de avión o sus reservas a redes sociales como Instagram o Twitter, listos para que cualquier pueda encontrarlos y ver sus datos.
Los investigadores demostraron en directo con una foto de Instagram cómo podían obtener todos los datos personales asociados al billete: nombre, apellidos, email, número de tarjeta de crédito utilizada para pagar, dirección de residencia, etc. Y averiguar las fechas y horas de los vuelos asociados.

Tener estos datos les permitía utilizar el sistema de reserva online de la aerolínea para cambiar la fecha del vuelo. E incluso, en determinadas aerolíneas, solicitar un cupón para comprar otro pasaje bajo otro nombre y, potencialmente, viajar gratis. Algo de lo que el comprador legítimo no se enteraría hasta que no llegase a la terminal y encontrase que su pasaje había sido cancelado.
Continuando con su trabajo, encontraron que los códigos de reserva asociados a cada billete -una cadena de texto de 6 caracteres con algunas limitaciones- tenía patrones que disminuían la cantidad de variaciones posibles, reduciendo así el número total de posibilidades con el que encontrar una reserva de vuelo válida que cambiar.

Cuidado con lo que publicás en Instagram, podrías quedarte sin tu vuelo
Boarding pass (Roma_ / Getty Images)

De este modo demostraron la facilidad con la que se podían generar códigos válidos, y que los sistemas de múltiples aerolíneas del mundo les permitían hacer miles de peticiones buscando reservas válidas. Normalmente las líneas aéreas -no todas- solicitan el primer apellido además del código de reserva, lo que convierte a este “ataque” en algo extremadamente peligroso contra personas con apellido común, como García, Smith, Wang o Ahmed, aunque deja sin protección a todos.
Los investigadores también anunciaron que habían encontrado patrones que indicaban que los códigos de reserva eran generados en un orden concreto, y se podían crear programas capaces de buscar y averiguar datos personales de reservas recién hechas y conseguir los datos de pago del viajero enviándole un email falso solicitando que cambiara sus datos.

Varias aerolíneas y sitios de reserva han actualizado sus plataformas después de ser informadas por Nohl y Nikodejevic, pero aún quedan muchos eslabones por solucionar. Nohl aprovechó los últimos minutos de la conferencia para preguntarse si, dada la facilidad con la que ellos los habían obtenido, estos datos no estaban en manos de agencias de espionaje de todo el mundo.

La Vanguardia

Compartir: Facebook Twitter