Se ha descubierto una vulnerabilidad en el sistema que se usa para gestionar las reservas de avión de las aerolíneas de todo el mundo. El sistema es tan anticuado que deja expuestas casi sin protección la información de los viajeros.
Los investigadores Karsten Nohl y Nemanja Nikodijevic, de la compañía de seguridad alemana SR Labs, advirtió en la Chaos Conference en Alemania sobre los peligros de los Sistemas de Distribución Global (GDS), una tecnología que se usa desde los años 60 para gestionar las reservas de vuelos. En la actualidad, estos sistemas ayudan a los viajeros a registrarse en sus vuelos por Internet, hacer un seguimiento de los horarios y cambios de itinerario de sus viajes, gestionar sus puntos acumulados como viajeros frecuentes, etc.
El acceso al sistema está protegido por un código de seis dígitos, el Registro de Nombres de Pasajeros (PNR), que se le entrega al pasajero para que ingrese al sistema. Este código y su apellido es todo lo que el viajero necesita para tener acceso a toda la información que almacena el sistema.
Este es un problema mayor, porque a pesar de que el código PNR funciona como una contraseña, no es privada ni secreta: está impreso en las etiquetas de cada maleta y solía mostrarse en los pases a bordo, pero los reemplazaron por un código de barras que se puede descifrar con facilidad con cualquier aplicación desarrollada con este fin. “Esto significa que gran parte de los 80.000 viajeros que publicaron fotos de su pase a bordo con la etiqueta #boardingpass en Instagram corren el riesgo de ser víctima de robo de identidad”, explicó Nikodijevic.
Por si esto fuera poco, los caracteres del código PNR en muchos casos no son aleatorios, sino que siguen un patrón. Por ejemplo, algunos servidores generan los primeros dos caracteres en secuencia y otros reservan algunos códigos para determinadas aerolíneas. Esto le facilita el trabajo a los atacantes que quieren adivinar el código, y su tarea se facilita aun más porque no tienen que preocuparse por ser certeros en pocos intentos, ya que muy pocos sistemas limitan la cantidad de intentos fallidos que puede tener un usuario para ingresar a una cuenta.
Los investigadores incluso combinaron el apellido “Smith”, muy común en los países angloparlantes, con mil códigos generados de forma automática y consiguieron cinco coincidencias.
Estas vulnerabilidades pueden dejar que terceras personas ingresen a las cuentas de viajeros para robar su información personal, alterar la información de los pasajes para cambiarles de asiento, robarles sus millas de viajero frecuente, o hasta transferir el vuelo a otro titular para viajar gratis.
Los investigadores urgieron a tomar las medidas necesarias para asegurar los sistemas lo antes posible. “Si se supone que el código PNR es una contraseña segura, debería tratarse como tal”, dijo Nohl. Por su parte, Sabre, la compañía a cargo de estos sistemas, dijo que tenía “múltiples capas” de protección. “Discutir nuestras formas de mantener la seguridad y privacidad de los viajeros sería contraproducente”, dijo un portavoz de Sabre a Reuters.
Fuentes
Investigadores exponen la alarmante desprotección de los datos de los viajeros de todo el mundo