Fallas en la web de un servicio de equipaje expusieron los planes de viaje de todos los usuarios

La empresa no avisó en su momento ni a los usuarios afectados ni a las aerolíneas asociadas. (Unsplash)

Una reciente vulnerabilidad detectada en el sitio web de Airportr, un servicio premium de equipaje en Reino Unido y Europa, puso al descubierto los planes de viaje y la información personal de todos sus usuarios, abriendo una puerta potencialmente peligrosa para el robo, el espionaje y el fraude. La alerta fue emitida por investigadores de la firma de ciberseguridad CyberX9, quienes identificaron y documentaron una cadena de errores en el diseño de la plataforma que pudo haber sido explotada por cualquier atacante sin conocimientos avanzados, poniendo en entredicho la seguridad de una solución que, además, es ampliamente utilizada por diplomáticos y funcionarios de varios países.

Airportr ofrece a clientes de al menos diez aerolíneas importantes, entre ellas American Airlines, British Airways, Lufthansa y Virgin Atlantic, la posibilidad de contratar la recogida, chequeo y entrega de equipaje entre destinos europeos y británicos. El atractivo del servicio lo ha convertido en el preferido de personalidades acostumbradas a viajes frecuentes y traslados de alto perfil. Sin embargo, según reportó Wired, este mismo nivel de clientela hizo que la brecha de seguridad tuviese consecuencias aún más graves: en la muestra analizada por los expertos, surgieron nombres de usuarios con pasaportes diplomáticos de Reino Unido, Estados Unidos y Suiza, así como funcionarios con cargos ligados a la ciberseguridad gubernamental.

El equipo de CyberX9 descubrió que cualquier usuario podía cambiar la contraseña de otra cuenta con tan solo conocer el correo electrónico asociado, aprovechando una falla básica en las rutinas de restablecimiento. A esto se sumaba la inexistencia de límites para los intentos automatizados de adivinanza (“brute-force”) de direcciones de correo, lo que facilitaba una intrusión masiva y silenciosa a cuentas ajenas. Además, los expertos lograron acceder a credenciales administrativas a través de correos fácilmente localizables en la web, lo que les permitió simular ser superadministradores y asumir control total sobre las operaciones y la información contenida en la plataforma.

El atractivo del servicio lo ha convertido en el preferido de personalidades acostumbradas a viajes frecuentes y traslados de alto perfil. (Imagen Ilustrativa Infobae)

Mediante estas vulnerabilidades, fue posible obtener nombres, teléfonos, direcciones, historiales de viaje, copias digitales de pasaportes, registros de vuelo y firmas, todos datos de enorme valor tanto para cibercriminales como para actores interesados en espionaje o fraudes asociados. Según el director de CyberX9, Himanshu Pathak, los hallazgos representan una exposición total de la base de datos de pasajeros y operaciones, resaltando la gravedad de dejar “en manos de terceros toda la información sensible de usuarios en todos los países donde opera este servicio”.

El acceso no autorizado a cuentas administrativas también habría permitido, hipotéticamente, llevar a cabo acciones como desviar o robar equipaje, ordenar cancelaciones de vuelos mediante la información vinculada de las aerolíneas, o incluso lanzar campañas de phishing usando las cuentas oficiales de Airportr, aumentando los riesgos para los usuarios. Aunque la compañía británica sostiene que el acceso solo fue realizado por los investigadores que buscaban alertar sobre las falencias, los responsables del hallazgo advierten que la simplicidad de las vulnerabilidades detectadas deja abierta la posibilidad de que otros actores hayan explotado los mismos errores antes de que fueran subsanados.

Randel Darby, CEO de Airportr, reconoció la existencia del problema e informó que la compañía tomó medidas inmediatas para aislar y reparar la parte sensible del sistema poco después de recibir la notificación de los expertos en abril. Según Darby, las medidas de mitigación se completaron en pocos días y no existe evidencia de explotación maliciosa. No obstante, la empresa no avisó en su momento ni a los usuarios afectados ni a las aerolíneas asociadas, argumentando que la investigación interna determinó que el incidente era de bajo riesgo. Solo tras el aumento del interés mediático y con la publicación de los hallazgos se notificó formalmente al regulador de protección de datos del Reino Unido como precaución adicional.

El incidente subraya la importancia de auditar y exigir estrictos controles de seguridad a cualquier prestador externo que maneje datos personales. (Imagen Ilustrativa Infobae)

La reacción de las aerolíneas asociadas fue limitada. Lufthansa señaló su intención de investigar a fondo cualquier situación relacionada con brechas de seguridad a terceros y reafirmó su compromiso con la integridad y seguridad de los datos de sus pasajeros. Otras compañías como American Airlines, British Airways y Virgin Atlantic declinaron realizar comentarios sobre el incidente pese al papel clave de sus clientes dentro del ecosistema de Airportr.

Los responsables del informe resaltan que el mayor riesgo para la privacidad de los viajeros radica justamente en los servicios “invisibles” o terciarizados, muchas veces recomendados por aerolíneas y aeropuertos bajo el supuesto de seguridad y confianza. Cuando el eslabón más débil de la cadena —en este caso, la web de un socio logístico— baja la guardia, toda la información del pasajero queda vulnerable, sin importar la protección que apliquen las aerolíneas principales. El incidente subraya la importancia de auditar y exigir estrictos controles de seguridad a cualquier prestador externo que maneje datos personales, especialmente cuando se trata de viajeros sensibles o de alto perfil cuyas agendas y desplazamientos pueden tener interés estratégico.

La filtración en Airportr constituye así una advertencia para el sector de viajes y transporte aéreo: la seguridad de los datos personales no depende solo del operador principal, sino de cada pieza y servicio integrado en la experiencia del usuario. La confianza de los pasajeros, y especialmente de los organismos y personalidades que utilizan estos servicios, exige un enfoque mucho más riguroso tanto en la evaluación como en la gestión de los riesgos tecnológicos asociados a la cadena de viaje completa.