10 Ene 2017

La poca seguridad de los sistemas de reserva permite adquirir vuelos gratuitos

Amenazas

La gente publica en la red fotos de sus billetes. ¿Por qué no deberían hacerlo? Solo Instagram contiene miles de imágenes en las que se muestran entradas para conciertos, billetes de avión o décimos de lotería.

Si todos lo hacen, ¿por qué no deberías hacerlo tú?

De hecho, lo último que nunca deberías hacer con una entrada o un billete es publicarlo en Internet. Este papel contiene información que permite a cualquiera robártelo (¡no exageramos!), acumular kilómetros de vuelo o hacerte una jugarreta. Hace más de un año hablamos del tipo de malas pasadas que pueden sufrir las personas por la información de estos documentos. Recientemente, los investigadores de seguridad Karsten Nohl y Nemanja Nikodijevic volvieron a sacar el tema en la Chaos Communication Congress (33C3).

Aerolíneas, agentes de viaje, webs de comparación de precios y otros servicios funcionan en conjunto para dar oportunidades de reserva fáciles para los pasajeros. La industria utiliza los Sistemas de Distribución Globales (GDS por sus siglas en inglés) para verificar la disponibilidad de vuelos, asegurarse de que no se reservan dos veces los mismos asientos, entre otros aspectos. Estos sistemas están enlazados con los servicios web, pero no con las mejores prácticas de protección web. Como resultado, la tecnología de dichos sistemas, en lo que a seguridad se refiere, está desfasada y otorga a los delincuentes la oportunidad de utilizar un gran abanico de ataques.

Aunque hoy en día existen 20 distribuidores de GDA, el dúo de seguridad Nohl y Nikodijevic se centró en los tres sistemas principales: Sabre (fundado en 1960), Amadeus (fundado en 1987) y Galileo (ahora parte de Travelport). Estos sistemas administran más del 90 % de las reservas de vuelos, al igual que de hoteles, coches y otras reservas de viajes.

Por ejemplo, Lufthansa y AirBerlin trabajan con Amadeus y con el operador turístico Expedia. American Airlines y la aerolínea rusa Aeroflot operan con Sabre. De todos modos, es difícil asegurar qué GDS almacena los datos personales de un pasajero en particular. Por ejemplo, Si reservas un billete para un vuelo de American Airlines en Expedia, tanto Amadeus como Sabre registran la transacción.

Dependiendo de las normas del sistema de reservas, los registros GDS suelen contener el nombre del pasajero, el número de teléfono, la fecha de nacimiento y los datos del pasaporte, así como el número de su billete, aeropuertos de salida y destino y la fecha y hora del vuelo. También incluye la información de pago (el número de la tarjeta de crédito). En otras palabras, datos confidenciales.

Nohl y Nikodijevic señalaron que muchas personas tienen acceso a esta información, incluidos los trabajadores de las aerolíneas, operadores turísticos, representantes de hoteles y otros agentes. Los investigadores suponen que las agencias gubernamentales también pueden leer esta información. Pero es solo la punta del iceberg.

Para acceder y cambiar esta información, los GDS utilizan el nombre del viajero como dato de acceso y un código de reserva de seis dígitos (muchos viajeros lo conocen como PNR) como contraseña. Sí, el PNR está impreso en el billete y en las etiquetas del equipaje. Y es la contraseña.

“Si se supone que el PNR ha de ser una contraseña segura, debería tratarse como tal”, aseguró Nohl en la conferencia. “Pero no lo mantienen en secreto: se imprime en cada equipaje. Se imprimía en cada billete hasta que lo sustituyeron por un código de barras”. Dicho código de barras sigue conteniendo el PNR.

La mayoría de los viajeros no comprende el funcionamiento interno de la industria de vuelos y publican con entusiasmo sus billetes en Internet junto con el PNR cifrado en un código de barras. Sin embargo, un código de barras no es ningún misterio, pues un software especial puede leerlo. Por lo que cualquiera que le haga una foto a la etiqueta de tu equipaje en el aeropuerto o que encuentre tu billete en Internet puede acceder a tu información privada. No tienes que ser un hacker para sacar provecho de las vulnerabilidades de PNR (solo tienes que saber dónde mirar). En este vídeo puedes ver cómo Nohl y Nikodijevic decodificaron el código de barras del billete en una foto que estaba en Instagram.

Además, muchas aerolíneas y webs de comprobación de viajes no bloquean a los usuarios que introducen varias veces un código erróneo. Como resultado, los malhechores pueden elegir apellidos comunes, como García, y utilizar fuerza bruta para averiguar el PNR de dichos pasajeros. No es difícil: el código son seis dígitos y los algoritmos de generación de códigos suelen ser débiles. Por ejemplo, algunos repiten los dos primeros caracteres de forma secuencial y todos los PNR generados en una fecha en concreto empiezan con los mismos caracteres. Otros proveedores usan códigos específicos para ciertas aerolíneas. Estas prácticas reducen el rango de dígitos que un atacante debe adivinar.

En el Chaos Communication Congress, Nohl y Nikodijevic demostraron que un PNR se puede hackear en unos pocos minutos. Entre los minutos 30 y 45 del mismo vídeo, hay una explicación detallada sobre cómo funciona, además de una demostración en tiempo real de todo el proceso.

El resultado es que los delincuentes pueden recopilar varios GDS para buscar información personal de los pasajeros y embaucarlos con técnicas avanzadas de phishing. Imagínate la siguiente situación: el señor García reserva un vuelo a Berlín y 10 minutos después recibe un correo electrónico de su aerolínea en el que se le pide que confirme la información de su tarjeta de crédito. El correo incluye su nombre y apellido, el aeropuerto de destino y otros detalles de la reserva. ¿Parece creíble? ¡Pues sí! Es muy probable que el señor García haga clic en el enlace del correo y dé la información de su tarjeta de crédito (pero a una web falsa).

Además, al haber usado un PNR y haber buscado la información personal, los hackers quizá puedan cambiar los datos del billete. Podrían cancelar el billete y hacer que les devuelvan el importe del billete en su cuenta. O podrían cambiar el nombre del billete, los apellidos y el número de pasaporte para que otra persona lo utilice (sorprendente, pero algunos servicios lo permiten). Un delincuente más precavido o generoso simplemente cambiaría la información más frecuente para quedarse con los kilómetros que se pueden ganar con el original. Por último, al utilizar los datos PNR como contraseña, GDS ofrece a los hackers vuelos gratuitos, kilómetros ilimitados y dinero.

Otro hecho muy decepcionante: a pesar de que los expertos y la prensa han hablado la cuestión varias veces en los últimos años, las compañías GDS siguen rechazando cortar el acceso a los PNR, motivo por el que no se puede rastrear la mayoría de los casos de abuso. Se llegan a conocer pocos incidentes (por ejemplo, cuando un delincuente robó billetes a viajeros y las víctimas se quejaron). En los casos más inteligentes de fraude y robo de información, los especialistas no son capaces de evaluar el alcance del problema. Nohl y Nikodijevic están seguros de que los clientes no deben esperar cambios sustanciales a corto plazo. Se debe reescribir todo el sistema de reservas y, por desgracia, lo único que forzará a las aerolíneas a hacerlo es el aumento del fraude en PNR.

Por ahora, tenemos dos consejos: tener cuidado y nunca publicar tus billetes en Internet. Incluso los billetes antiguos proporcionan mucha información sobre ti.