Peligros del código de reserva de tickets aéreos

Comprar un pasaje aéreo por internet es cada día más fácil. Tan solo tienes que seleccionar el trayecto y la fecha, rellenar tus datos, efectuar el pago y hacer clic en la opción “reservar vuelo”.

A partir de ese momento, todo queda grabado en un código que recibes por correo electrónico y que garantiza tu reserva. Así de fácil.

Ese código alfanumérico de cinco o seis dígitos es clave. Los especialistas lo llaman PNR -acrónimo en inglés de Passenger Name Record (en español, registro de nombre de pasajero)- y almacena mucho más que los datos de tu vuelo.

“Cualquiera que tome una foto de tu código PNR -o lo encuentre por internet- puede saber quién eres, a dónde viajas y con quién, cuál es tu teléfono móvil, tu dirección postal, tu email, tu itinerario de viaje, tu asiento e incluso los números de tu tarjeta de crédito”, cuenta Karsten Nohl, un especialista en ingeniería informática y experto en criptografía que trabaja en la compañía de seguridad alemana Security Research Labs.

La consultora acaba de publicar un informe alertando sobre lo que considera una “amenaza a la privacidad de los viajeros”, que Nohl presentó el pasado mes de diciembre en el Chaos Communications Congress, el evento anual más grande de Europa sobre hacking.

Nohl lleva más de una década investigando este asunto.

El criptógrafo asegura que usamos este sistema desde la era predigital, de los años 70 y 80, y que apenas ha cambiado desde entonces, a pesar de los riesgos de hackeo que implica la gestión de reservas online.

“Tan solo con el apellido del pasajero se puede encontrar su código de reserva en internet sin gran esfuerzo”, dice Security Research Labs en su informe.

Pero el uso de este sistema no se reduce a viajes aéreos. También se utilizan para reservar habitaciones de hotel, comprar billetes de tren o alquilar autos por internet,

Lo más preocupante, señala Nohl, es que no está protegido por ninguna contraseña. Y queda impreso en nuestra tarjeta de embarque y en la etiqueta de nuestro equipaje.

El PNR contiene mucha más información personal de lo que la mayoría de la gente piensa. Puede incluir información sobre con quién viajas, cuántas habitaciones de hotel reservaste, qué menú pediste en el avión o con qué dirección IP hiciste la reserva”, explica el escritor y periodista estadounidense Edward Hasbrouck, autor del libro “The Practical Nomad” (2001) y consultor en Identity Project, una iniciativa para resolver cuestiones de libertades civiles que afectan a los viajeros.

“Los datos más delicados son los relacionados con el propio viaje: dónde vas a estar y cuándo. Esa información pueden usarla para espiarte y acosarte, o para entrar a robar en tu casa cuando no estás”, advierte Hasbrouck, quien lleva 15 años investigando este asunto.

“También hay riesgos potenciales de robo de identidad”, añade.

¿Qué puede hacer un tercero malintencionado con tu PNR?

Existen cuatro tipo de abusos potenciales:

  1. Invasión de tu privacidad: el código contiene información de contacto, fechas de viaje y preferencias y, a menudo, los datos de tu pasaporte.
  2. Robo de vuelos: la mayoría de las aerolíneas permite cambiar tu vuelo o incluso cancelarlo con tu PNR, haciendo posible que un defraudador vuele gratis.
  3. Desviación de millas: al cambiar la información sobre el viajero en la reserva, pueden robar tus millas aéreas sin comprar otro vuelo.
  4. Pishing/vishing: los hakcers pueden usar prácticas fraudulentas de ingeniería social (obtener información confidencial) y acceder a tus datos de pago o credenciales.

Las posibles soluciones

Para Nohl, una solución fundamental sería proporcionar una contraseña a los viajeros a la hora de hacer su reserva. Pero advierte que eso llevará tiempo, pues requerirá de la colaboración de las instituciones.

Según el criptógrafo, la forma en la que son escogidos los códigos PNR los hace menos seguros que cualquier contraseña de cinco dígitos.

Además, tanto los GSD como los sitios web de las aerolíneas permiten hacer miles de reservas a través de una sola dirección IP, lo cual pone en riesgo al comprador.

Por su parte, Hasbrouck sostiene que los usuarios “necesitan demandar urgentemente cambios técnicos a las compañías y pedir que se refuercen las leyes de protección de datos”.

Nohl le contó que actualmente está “en conversaciones” con dos de esas tres empresas GDS, aunque no quiso dar más detalles.

La reacción de las compañías fue la siguiente:

“Estamos evaluando los resultados de las investigaciones sobre la seguridad de la industria de viajes y hemos hecho mejoras. Damos prioridad a la seguridad de los clientes y de los datos y revisamos continuamente nuestros sistemas y procesos”, le respondió un vocero de Amadeus.

“Tendremos en cuenta esos hallazgos y trabajaremos juntos con nuestros colaboradores para abordar las cuestiones y buscar soluciones a problemas potenciales”, agregó el portavoz.

En Travelport destacaron la “ciberseguridad y la privacidad del cliente como prioridades críticas” y señalaron que están haciendo “continuas inversiones en sus propios sistemas y comprometiéndose con varios actores de la industria para mejorar cualquier cambio recomendado para hacer reservas por internet”.

Y Timothy Enstice, director de comunicación de Sabre, dijo que “el acceso no autorizado a la información de los viajeros a través de GDS es bastante improbable porque tenemos numerosas capas de seguridad para restringirlo”, y señaló que “son otros actores del sector de viajes quienes deben adoptar medidas similares de estricta seguridad “.

Leave a Reply

%d bloggers like this: