Al examinar la plataforma Points.com, que administra los programas de lealtad de varias aerolíneas y hoteles de lujo, los investigadores de ciberseguridad descubrieron fallas que habrían permitido disfrutar de boletos aéreos y noches de hotel gratis.
¿Quién dijo que la piratería solo se usaba para infiltrarse en los gobiernos? ¿O para coleccionar libros electrónicos y videojuegos de forma ilegal? Tal vez los piratas informáticos solo quieran viajar y alojarse en hoteles cómodos después de todo. Excepto que perdieron la oportunidad. Los investigadores de seguridad cibernética, Ian Carroll, Shubham Shah y Sam Curry, han descubierto importantes fallas de seguridad que permiten secuestrar programas de lealtad de aerolíneas y hoteles.
Hablamos de las famosas “millas”, esos puntos que acumulamos durante nuestros viajes en avión y que al cabo de un tiempo se convierten en un billete gratis. Lo mismo para las noches de hotel. Para Sam Curry, la sorpresa vino “por el hecho de que existe una entidad central para los programas de fidelización, que utilizan casi todas las grandes marcas del mundo”. De hecho, la plataforma Puntos.com gestiona el sistema de fidelización de muchas aerolíneas y grupos hoteleros: Air France, KLM, Emirates, Hilton, Lufthansa… La lista es larga.
Los piratas podrían haber disfrutado de viajes aéreos gratuitos y noches de hotel.
Al profundizar en la estructura de la plataforma, los investigadores descubrieron una vulnerabilidad que permitía a un hacker recuperar todos los datos de una cuenta de cliente (identidad, correos electrónicos, dirección, etc.). Al explotar otro error, el hacker podría cree un token de identificación con solo el apellido y la cantidad de puntos de fidelidad, acceda a la cuenta y extraiga sus puntos. Peor aún: el equipo notó que Points.com asignaba a cada usuario una cookie encriptada (lo cual es normal), pero eso la clave para descifrarlo era la palabra… “secreto”. Hemos visto peores como contraseña, pero hemos visto mejores.
Alertada, la empresa que administra el sitio web corrigió rápidamente todas las fallas identificadas. Después del examen, también asegura que no fueron explotados. Su corrección ha sido verificada y validada por los propios investigadores y otros expertos en ciberseguridad. No te preocupes si aprovechas el programa de fidelizacióntus puntos están protegidos.
