**Investigación revela vulnerabilidades en sistemas de reservas de pasajes aéreos**
Exposición de vulnerabilidades
En el segundo día de la conferencia Ekoparty, dos investigadores, Ignacio Laurence y Luciano Paccella, demostraron la facilidad con la que se puede acceder a las reservas de pasajeros de más de 50 aerolíneas en todo el mundo. Esto permite ver información personal, itinerarios e incluso modificar o cancelar reservas.
La vulnerabilidad, según explican los expertos, se debe al débil sistema de autenticación que utilizan la mayoría de las aerolíneas. Al comprar un pasaje, el acceso a la reserva solo requiere el código de reserva y el apellido del pasajero. Además, muchos sitios no implementan limitadores de frecuencia, lo que permite a los atacantes adivinar códigos de reserva, especialmente con apellidos comunes.
"Este tipo de ataque implica que se puede acceder a datos de los pasajeros, como su número de pasaporte y nombre completo, además de poder inferir cuándo y dónde se encuentra un ciudadano y hacia dónde viaja. Pero, más peligroso aún, también se pueden hacer modificaciones en la reserva o incluso cancelarlas", explican los investigadores.
Como ejemplo, los investigadores dieron a conocer casos de vuelos de celebridades a los que pudieron acceder, como Scarlett Johansson, Matt Damon, David Beckham y hasta Barack Obama.
"De las 51 aerolíneas que investigamos, sólo vimos cuatro que tenían alguna medida más de seguridad: Swiss Airlines, Japan Airlines, Air Koryo y Pegasus Airlines. Pegasus parecía la más segura porque implementa un sistema de autenticación de dos factores", señalaron.
Mitigación y otras vulnerabilidades
Para mitigar este problema, los expertos recomiendan implementar un segundo factor de autenticación, como enviar un correo electrónico o SMS al usuario para verificar su identidad al ingresar a una reserva.
En la misma línea, otros investigadores, Octavio Gianatiempo y Gastón Aznarez, presentaron una investigación sobre una serie de fallas de seguridad que afectan a al menos 500.000 routers de la marca taiwanesa DrayTek.
"Los routers son un ejemplo típico de dispositivos 'edge' y son atractivos para los atacantes porque, al comprometerlos, pueden obtener acceso a la red interna, interceptar y manipular tráfico de red, y lanzar ataques adicionales desde una posición estratégica", explicaron los expertos.
Por último, el ingeniero argentino Enrique Nissim presentó una falla en los procesadores AMD fabricados desde 2006 hasta la actualidad, que otorga más privilegios a un pirata informático para controlar un equipo.
"AMD es la principal competidora de Intel en el mercado de los microprocesadores", destacó Nissim.
Competencias y desafíos
Uno de los elementos más esperados de las conferencias de hackers son las competencias de diversas áreas. Una de ellas es la caza de vulnerabilidades, donde se ofrecen recompensas a quienes encuentren fallas en los sistemas.
Worldcoin, la compañía que escanea el iris de los ojos, desafió a los hackers a engañar al sistema de registro del iris con el premio de 5.000 dólares.
El Banco Galicia, por su parte, abrió un evento de "Live Hacking Event" donde los participantes pueden interactuar con el equipo de ciberseguridad del banco y obtener recompensas económicas por hallazgos válidos.
Ekoparty también cuenta con diferentes "villages" para distintos conocimientos dentro del hacking, como la Red Team Village y el BlueSpace, donde se realizan charlas, talleres, competencias y actividades específicas.
La conferencia continúa el viernes 16 de noviembre con más charlas, talleres y conferencias.
