Un grupo de investigadores europeos ha demostrado en la Chaos Computer Club, una conferencia celebrada todos los años en Berlín, la escasa seguridad y privacidad de los sistemas de reservas de vuelos a nivel mundial.
Estas plataformas, conocidas como GDS, son las que coordinan la información de pasajeros a nivel mundial y operan bases de datos a las que las agencias de viajes, aerolíneas, empresas de alquileres y otras agencias se conectan para operar en su día a día. Los resultados de la investigación son altamente preocupantes, con posibilidad demostrada para encontrar información personal fácilmente de los viajeros así como incluso la posibilidad de cambiar, cancelar los billetes o asociar una tarjeta “de millas” propia a cualquier viaje.
Karstein Nohl y Nemanja Nikodejevic, son los investigadores alemanes que han realizado una investigación con fines éticos y avisado a varias de las empresas miembros de esta tela de araña de servicios para que protejan sus servicios, pero sus conclusiones son increíblemente alarmantes.
En su conferencia, de 50 minutos, demostraron cómo los códigos de barras imprimidos en los billetes de vuelo o que van pegados en el equipaje, contienen información personal y privada del viajero. Y que cualquier lector de códigos de barras gratuito en un smartphone o en una página web, es capaz de leer. Un elemento técnico que es conocido desde hace décadas. Lo que es nuevo es la cantidad de personas que suben fotos de sus billetes de avión o sus reservas a redes sociales como Instagram o Twitter, listos para que cualquier pueda encontrarlos y ver sus datos.
Los investigadores demostraron en directo con una foto de Instagram cómo podían obtener todos los datos personales asociados al billete: nombre, apellidos, email, número de tarjeta de crédito utilizada para pagar, dirección de residencia, etc. y averiguar las fechas y horas de los vuelos asociados.
Tener estos datos les permitía poder utilizar el sistema de reserva online de la aerolínea para cambiar la fecha e incluso cambiar la fecha del vuelo. Incluso en determinadas aerolíneas, solicitar un cupón para comprar otro billete bajo otro nombre y potencialmente viajar gratis. Algo de que el comprador legítimo no se enteraría hasta que no llegase a la terminal y encontrase que su billete había sido cancelado.
Continuando con su trabajo, encontraron que los códigos de reserva asociados a cada billete, una cadena de texto de 6 caracteres con algunas limitaciones, tenía patrones que disminuían la cantidad de variaciones posibles, disminuyendo así el número total de posibilidades con el que encontrar una reserva de vuelo válida que cambiar.
Una vez demostrado la facilidad con la que se podían generar códigos válidos, y que los sistemas de múltiples aerolíneas del mundo les permitían hacer miles de peticiones buscando reservas válidas. Normalmente las aerolíneas solicitan el primer apellido además del código de reserva —pero no todas— lo que convierte este “ataque” en algo extremadamente peligroso contra personas con apellido común como García, Smith, Wang o Ahmed, aunque deja sin protección a todos.
Los dos investigadores también anunciaron que habían encontrado patrones que indicaban que los códigos de reserva eran generados en un orden concreto, y se podían crear programas capaces de buscar y averiguar datos personales de reservas recién hechas, y conseguir los datos de pago del viajero enviándole un email falso solicitando al viajero que cambiara sus datos.
Varias aerolíneas y sitios de reserva han actualizado sus plataformas después de ser informadas por Nohl y Nikodejevic, pero aún quedan muchos eslabones por solucionar. Nohl aprovechó los últimos minutos de la conferencia para preguntarse si, dada la facilidad con la que habían sido obtenidos por ellos, estos datos no estaban en manos de agencias de espionaje de todo el mundo.