La vulnerabilidad en los sistemas de reservas aéreas quedó expuesta durante el segundo día de Ekoparty, donde dos investigadores argentinos revelaron las graves falencias de seguridad que afectan a más de 50 aerolíneas internacionales.
Hallazgos Principales
Ignacio Laurence y Luciano Paccella demostraron que el acceso a las reservas de vuelos requiere únicamente dos datos básicos: el código de reserva (PNR) y el apellido del pasajero. Esta simplicidad en la autenticación representa un riesgo significativo para la privacidad y seguridad de los viajeros.
Vulnerabilidades Detectadas
La investigación reveló que la mayoría de las aerolíneas carecen de limitadores de frecuencia en sus sistemas, lo que facilita ataques de fuerza bruta para adivinar códigos de reserva, especialmente con apellidos comunes. Además, algunas compañías permiten el acceso mediante números de e-ticket secuenciales, lo que simplifica la automatización de estos ataques.
Implicaciones de Seguridad
Los investigadores lograron acceder a información sensible como:
- Datos personales completos
- Números de pasaporte
- Itinerarios de vuelo
- Capacidad de modificar o cancelar reservas
Para demostrar la gravedad del problema, los investigadores accedieron a reservas de celebridades como Scarlett Johansson, Matt Damon, David Beckham e incluso Barack Obama.
Soluciones Propuestas
De las 51 aerolíneas analizadas, solo cuatro implementan medidas de seguridad adicionales:
- Swiss Airlines
- Japan Airlines
- Air Koryo
- Pegasus Airlines (destacada por su autenticación de dos factores)
Los expertos recomiendan implementar un sistema de autenticación de dos factores, ya sea mediante correo electrónico o SMS, para verificar la identidad del usuario antes de permitir el acceso a las reservas.
Vía: Dark News
Nota de RZW: Creo que es muy positivo seguir creando conciencia sobre este tipo de implementaciones, que carecen de mecanismos efectivos para prevenir su explotación, especialmente en sistemas que han estado en uso durante varias décadas. Es momento de actualizarlos. Sin embargo, personalmente creo que deberíamos evitar caer en el sensacionalismo, ya que esto no es algo nuevo ni ha sido “descubierto” recientemente en la Ekoparty.
Desde hace años, quienes estamos ligados a los viajes advertimos sobre la importancia de no compartir fotos de boarding passes en redes sociales, blogs o foros. Hacerlo puede facilitar este tipo de “ataques” y permitir que cualquiera acceda a nuestra reserva. Aunque a simple vista parezca inofensivo, exponer elementos como el PNR o el código QR, que contienen información crítica, es un riesgo que se debe evitar. Aun así, la cobertura mediática sobre el tema podría ayudar a que algunas aerolíneas implementen mecanismos más sólidos para prevenir estos riesgos.