Los enlaces de check-in enviados a los clientes por varias aerolíneas podrían ser útiles para diversas actividades de hacking, advierten expertos
Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que los enlaces enviados por aerolíneas como Air France, usados para la emisión electrónica de boletos de avión, no cuentan con ninguna clase de protección. Estos enlaces, enviados por SMS o por email, son empleados para iniciar el proceso de registro en un vuelo (check-in).
Investigaciones adicionales revelaron que estos enlaces no asegurados también son enviados por otras relevantes aerolíneas como Southwest en E.U., KLM en Holanda, Air Europe en España y Thomas Cook en Reino Unido.
Especialistas en seguridad en redes mencionan que el principal problema es que estos enlaces son enviados de las aerolíneas a los clientes usando protocolos HTTP, en lugar del HTTPS, la versión segura.
Estos enlaces incluyen datos como el origen y destino del vuelo, e incluso el nombre completo del pasajero. Las empresas usan estos datos para identificar a los pasajeros y proporcionar acceso a mayores detalles sobre sus vuelos.
Un atacante capaz de interceptar el tráfico de un usuario, a través de una red WiFi pública, por ejemplo, puede sustraer esta información para acceder a la página de facturación en línea del usuario.
La página de facturación en línea de cada aerolínea varía, pero en general se pueden encontrar datos del usuario como:
- Nombre completo
- Dirección email
- Información de pasaporte
- Nacionalidad
- Números de teléfono
- Detalles de vuelo
Los atacantes incluso podrían realizar algunos cambios en la información proporcionada por los usuarios legítimos de la página de facturación.
“Los procedimientos de abordaje varían de un aeropuerto a otro y pueden ser más o menos seguros. Lo más preocupante en este caso es que un hacker incluso podría tratar de abordar el vuelo programado por un usuario”, reportaron los expertos en seguridad en redes.
Recientemente, un hombre que viajaba de Reino Unido a Polonia abordó el avión equivocado y terminó en Malta; el boleto del pasajero tenía como destino Polonia, por lo que este incidente generó alerta en los sistemas de abordaje de la aerolínea.
Los especialistas consideran que las aerolíneas deberían implementar cifrado de comunicaciones durante este proceso de check-in, además de agregar procesos de autenticación adicionales para restringir el acceso a cualquier información personal de los usuarios.
“Estamos casi 100% seguros de que estas vulnerabilidades están presentes en múltiples aerolíneas”, menciona Michael Covington, especialista en ciberseguridad. “Hemos notificado a algunas aerolíneas y hemos recibido reportes de que han iniciado investigaciones internas. Aún así, podemos afirmar que algunos de los sistemas electrónicos de check-in en diferentes aerolíneas siguen exponiendo la información de sus usuarios”, agregó el experto.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad