Las tarjetas de embarque ofrecen demasiada información a los hackers

Dos investigadores alemanes demuestran como con el código de barras que aparecen en las tarjetas de embarque se puede conseguir mucha información personal

Por Manu Contreras ,

Te vas de viaje y quieres que todo el mundo lo sepa, entonces publicas una foto con tu pasaporte y la tarjeta de embarque en Instagram. No pasa nada, todo el mundo lo hace. El problema es que la información que hay en los códigos de barras impresas en estas tarjetas, tienen mucha información personal con la que se puede jugar.

El sistema actual de sistema de reserva de viajes es un caos, heredado desde hace décadas con bastantes problemas de seguridad. Los investigadores Karsten Nohl y Nemanja Nikodijevic lo han demostrado en una reciente charla en el 33C3, el congreso anual de hacking organizado en Alemania.

Los dos expertos demostraron como capturando un código de barras de una foto aleatoria en Instagram, se pudo saber información del vuelo, el nombre o incluso detalles de la reserva. Todo gracias a ciertos servicios que muestra información que se almacena en estos códigos de barras.

Muchísima gente publica sus tarjetas de embarque en Instagram

Muchísima gente publica sus tarjetas de embarque en Instagram

También demostraron como funcionan los sistemas de distribuciones globales –llamados GDS por sus siglas en inglés– que las aerolíneas, agencias de viajes, hoteles y empresas de alquiler de coches usan. En ellas se organiza y coordina la información de los viajeros, donde entre otros datos se guardan nombres, correos electrónicos y datos de formas de pago.

Conociendo datos personales, sobre todo el nombre, apellido y tarjeta usada para pagar el billete, se podría conseguir hacer cambios en el itinerario del viaje, o simplemente conocer en todo momento por donde viaja una persona. En uno de los peores casos se podría cancelar el billete, algo que no sabría el dueño del billete hasta que no llegase a la terminal.

Dependiendo de la aerolínea, se pueden hacer cambios más importantes, como conseguir puntos de viajero frecuente para otros usuarios, devolver un billete o conseguir el reembolso asociado, cancelando el billete en el proceso.

La pésima seguridad de las tarjetas de embarque es algo conocido en el mundo de los viajeros frecuentes. Algunos expertos en seguridad llevan años intentando que las aerolíneas dejen de publicar tanta información visible con un simple lector de códigos de barras.

Con el primer apellido del viajero y el código de reserva que se pueden conseguir, ya se accede a la mayoría de webs de aerolíneas, donde puedes hacer cambios de última hora. Para conseguir cerrar este agujero de seguridad, los expertos recomiendan asociar estas gestiones a usuarios y contraseñas, ya que la mayoría de aerolíneas ya tienen implementadas cuentas de usuario para conseguir beneficios.

Shaun Ewing publicó en 2011 un ejemplo de toda la información que consigues con estos códigos, incluyendo el nombre y apellido, código de referencia, los aeropuertos, vuelo, fechas, tipo de asiento, el número del asiento o el número de persona que hace check-in. Con el código que se imprime en las tarjetas que imprimen las aerolíneas, se muestra más información, como tu status para la aerolínea o el número asociado a tu tarjeta de viajero frecuente.

Puedes ver la presentación (en inglés) de estos dos investigadores en su totalidad, incluyendo las demostraciones de cómo consiguen la información.

+ Info | Security Affairs

Compartir en:

Últimos vídeos