Cómo robarle el vuelo a otro usando sólo una foto de su billete de avión

“A diferencia de otras demostraciones anteriores, en esta no va a haber mucho hacking -advierte Karsten Nohl al principio de su conferencia-. Pero no porque le hayamos perdido el gusto, sino porque no nos ha hecho falta”.

Nuestra segunda charla favorita del congreso de hackers celebrado en Hamburgo la semana pasada muestra lo fácil que es secuestrar el vuelo de otra persona usando solamente una foto de su billete. Todo gracias a que la tecnología por defecto de la industria del turismo, incluyendo aerolíneas, agencias de viaje, hoteles y las compañías de alquiler de vehículos, está diseñada para un mundo que ya no existe. Es la misma que usamos todos cuando compramos un billete online, reservamos un asiento o incluimos una maleta extra en el itinerario.

Karsten Nohl, el MC de este entretenido vídeo, es el Ryan Gosling de la comunidad infosec. Es miembro del CCC, habitual del Congreso y jefe del nutrido grupo de hackers de la consultora de seguridad berlinesa Security Research Labs.

En los últimos años, entre otras cosas, ha hackeado los cajeros automáticos europeos, las tarjetas SIM de los móviles con un solo SMS y ha demostrado que se puede geolocalizar y grabar cualquier conversación de cualquier teléfono móvil en tiempo real. Por ejemplo, el de un miembro del Congreso estadounidense.

En esta investigación ha trabajado con Nemanja Nikodijevic para exponer las vulnerabilidades de las plataformas de compraventa de billetes online, el grupo conocido como Sistemas de Distribución Global (GDS).

Ahora mismo hay tres GDS principales: Amadeus, Sabre y Galileo. Como son usadas indistintamente por todas las agencias, aerolíneas, brokers y pasajeros, los datos del viajero pueden y suelen acabar en los tres. “Eso significa que hay tres grandes compañías que tienen los datos de todos los viajeros todo el tiempo”, explica Nohl. Los tres datos que circulan entre los tres sistemas son el precio del billete, la disponibilidad y una cosa llamada el registro del pasajero (Passenger name record o PNR).

Detrás del PNR se esconden docenas de datos relevantes sobre millones de personas, incluyendo nombre, direcciones, teléfonos, tarjetas de crédito y, por supuesto, itinerario. ¿Pueden estos tres arcaicos sistemas entrelazados proteger toda esa valiosa información? [Spoiler: ninguno, nunca y no].

El número secreto peor guardado del mundo

Como decía Nohl, no hace falta ser hacker. Cualquiera que haya viajado en los últimos 10 años ha entrado en los detalles de su viaje sin más datos que su apellido y un localizador. “Uno pensaría que, si vas a usar el localizador de contraseña, lo guardarás bien guardado como un número secreto”.

La realidad es que no: la aerolínea imprime tu apellido y localizador en todos y cada uno de los papelitos que acompañan tu vuelo, incluyendo la pegatina que va en el asa de tu maleta. Esa que tiras sin romper. Y si tu vuelo no es directo o lo has comprado con un vuelo de regreso, el localizador es el mismo para todos los trayectos. Cualquiera que tenga acceso a los datos del primero, tiene acceso a todos los demás.

A veces viene encapsulado en un código de barras que cualquiera puede leer usando cualquier lector de barras online. Y no hace falta estar en el aeropuerto pescando billetes tirados de pasajeros incautos. Para los scammers más perezosos, el mundo inventó Instagram.

“75.000 personas publicaron fotos de sus billetes de avión en Instagram en las últimas dos semanas”, dice Nohl. ¿Y qué clase de cosas te pueden pasar si alguien tiene acceso a tu PNR? Para empezar, que tiene acceso a todos los datos personales que te ha pedido la aerolínea, incluyendo tu correo (goloso para phishing), tu número de pasaporte o DNI, tu dirección física. También los lugares en los que vas a estar durante tu viaje, tu tarjeta de crédito (con su fecha de caducidad) y tu dirección IP, si compraste el vuelo online.

Irónicamente, explica Nohl, desde los atentados de Nueva York, los gobiernos de muchos países llevan años peleando entre ellos por la potestad de estos datos. Como demuestra Nohl, toda la información está prácticamente expuesta como barras de chocolate en el mostrador del aeropuerto.

Nohl y su amigo Nemanja Nikodijevic quisieron demostrar cómo hacerlo usando checkmytrip.com, pero la página estaba caída y no por causalidad. Nohl había avisado a la web de que la iban a hackear en público durante la hora de su charla y sus responsables pensaron que era más productivo tirarla.

Nohl le encontró el lado positivo: “Al menos nadie podrá estafar a nadie usando esta página durante el tiempo que nos queda de demostración”. Como verán los que lleguen al final del vídeo, ViewTrip y TripCase fueron más valientes.

Lo segundo que podrían haber hecho en checkmytrip.com usando una foto de tu billete en Instagram es: modificar la fecha, el destino y, en algunos casos, hasta el nombre del pasajero. O cancelarlo y cambiarlo por un cupón para comprar otro vuelo no relacionado.

Usando fuerza bruta con, por ejemplo, la base de datos hackeada a Dropbox de la que hablábamos ayer, se puede secuestrar completamente un vuelo flexible sin provocar la alarma de fraude en el sistema. El scammer podría volar gratis poniendo el vuelo a su nombre y en la dirección que crea conveniente o –un trabajo más sutil y sostenible en el tiempo– añadir al usuario a su tarjeta de millas y aprovechar sus puntos sin que se dé cuenta. También podría buscar vuelos grandes que acaben de ser cancelados usando el código habitual de cancelación y canjear el dinero de indemnización. Todo eso sin mandar un solo correo ni empezar una campaña de phishing.

En el resto de esta entretenida charla, Nohl y su colega demuestran las distintas maneras de hackear los vuelos de diferentes aerolíneas usando la fuerza bruta para encontrar el vuelo de una persona concreta. En este caso eligen Carmen Sandiego, la protagonista del juego que da nombre a esta ponencia. Por petición popular, y para que todos nuestros lectores se sientan apropiadamente identificados, empiezan con Ryanair.

La industria del turismo está trabajando sobre las cenizas de un sistema prehistórico, anterior a la Red, pero cualquier industria que trabaja con ordenadores es susceptible de ser atacada. Es decir, todas. Pero no todas son igual de interesantes para los hackers –dice Nohl en esta fantástica entrevista–. Normalmente descubrimos las técnicas más avanzadas en el sector de la banca. Allí llegan seis meses antes“.