09 Oct Todo lo que pueden averiguar de ti con el código de barras de las tarjetas de embarque
Para muchos son sólo una serie de manchas en un papel sin relevancia alguna. Los códigos de barras, sin embargo, contienen información en ocasiones bastante sensible. Convertir esas marcas en blanco y negro en texto es menos complicado de lo que parece y cualquiera puede hacerlo. En algunos casos, como las tarjetas de embarque de las aerolíneas, es posible incluso acceder a la cuenta de viajero frecuente, obtener números de teléfono y robar puntos de descuento.
“Depende de cada aerolínea. En muchos casos todo lo que pone en el código de barras está escrito también en el papel, pero en otros revela información como el número de viajero frecuente”, explica a Teknautas el experto en ciberseguridad Brian Krebs. La conclusión que se extrae de ello es que es mejor no abandonar en cualquier sitio el billete de avión, sino destruirlo de forma apropiada, rompiéndolo en pedazos al menos.
El propio Krebs relata en su web cómo una lectora comenzó a juguetear con los datos ocultos tras los códigos de barra de las tarjetas de embarque. La clave se encuentra en webs como esta, donde se puede extraer la información en un par de pasos y con suma facilidad. Esta otra página, además, explica qué significa cada número del resultado.
En Teknautas hemos probado con billetes viejos para obtener sin dificultad nombre, número de reserva, aeropuerto de salida y llegada, número de vuelo, fecha, clase y asiento. En este caso es exactamente la misma información que aparece impresa en el papel, por lo que cualquier persona que lo recoja del suelo o una papelera no necesitará tanto trabajo. Tampoco son datos especialmente sensibles cuyo robo pueda implicar dolores de cabeza.
El problema llega cuando se utilizan las tarjetas de embarque que facilitan las propias compañías (esas alargadas de cartón duro) y no los folios que imprimimos en casa. En estos casos, tal y como explica Krebs, es posible obtener el número de viajero frecuente junto al resto de datos. Una información que tampoco debería suponer ningún riesgo de seguridad… si no fuera por los sistemas de autentificación de las compañías aéreas.
“Muchas aerolíneas tienen sistemas de autentificación muy malos en sus webs”, asegura Krebs. Según el experto, conocer el nombre y apellido de un pasajero junto a su número de viajero frecuente “es el primer paso para conseguir su contraseña”. Es lo que ocurre con Lufthansa, que permite a un usuario autentificarse en la web con esos dos datos: uno está escrito en el papel, y el otro se obtiene con facilidad del código de barras gracias a la web anteriormente mencionada.
Una vez logramos entrar en la cuenta de otro cliente el daño ya está hecho. Según cuenta la lectora de Krebs, es posible ver toda la información referente al vuelo en cuestión y a cualquier trayecto futuro. También ver el móvil del pasajero y sus compañeros de viaje y, lo que es peor, cambiar asientos e incluso cancelar los próximos vuelos. Este experimento tuvo lugar con un billete de Lufthansa, pero es aplicable a otras como United Airlines.
La solución: usar ‘apps’
Al entrar en la cuenta de otra persona también es más fácil robársela y cambiar su contraseña. Con saber el nombre y número de cuenta es posible iniciar el proceso para recuperar la clave. Algunas aerolíneas hacen preguntas personales del estilo “¿Cuál era el apellido de soltera de tu madre”, un dato que no suele ser difícil de obtener de las redes sociales, sobre todo si conocemos a la persona en cuestión.
Krebs asegura que este fallo de seguridad “ha impulsado un mercado negro de cuentas de viajero frecuente hackeadas y puntos de fidelidad”. El verdadero problema, según el experto, no es tanto la información que ofrecen los códigos de barras ni que puede accederse a ella. El fallo está en la poca seguridad que ofrece el acceso a las cuentas asociadas.
“La solución es bien simple”, comenta Krebs. En su opinión, la mejor opción es utilizar las apps que ofrecen las aerolíneas para incorporar un sistema de autentificación a través de Google o Facebook que pida la contraseña de esas plataformas. Además, “atraer a la gente hacia las aplicaciones elimina la tarjeta de embarque impresa en papel que termina abandonada en la papelera. Y eso sin olvidar que se protegen los árboles”.
Este problema no es el mayor fallo de seguridad de la historia, ni permitirá a nadie acceder a nuestras cuentas bancarias, pero pone de manifiesto cómo el eslabón en apariencia más irrelevante de la cadena puede echarlo todo a perder. Algo tan poco preocupante como un código de barras puede terminar por comprometer la seguridad de nuestras cuentas, sobre todo si tiramos la tarjeta de embarque en cualquier lado.
Fuente: El Confidencial