Aerol\u00edneas, agentes de viaje, webs de comparaci\u00f3n de precios y otros servicios funcionan en conjunto para dar oportunidades de reserva f\u00e1ciles para los pasajeros. La industria utiliza los Sistemas de Distribuci\u00f3n Globales<\/a> (GDS por sus siglas en ingl\u00e9s) para verificar la disponibilidad de vuelos, asegurarse de que no se reservan dos veces los mismos asientos, entre otros aspectos. Estos sistemas est\u00e1n enlazados con los servicios web, pero no con las mejores pr\u00e1cticas de protecci\u00f3n web. Como resultado, la tecnolog\u00eda de dichos sistemas, en lo que a seguridad se refiere, est\u00e1 desfasada y otorga a los delincuentes la oportunidad de utilizar un gran abanico de ataques.<\/p>\n Aunque hoy en d\u00eda existen 20 distribuidores de GDA, el d\u00fao de seguridad Nohl y Nikodijevic se centr\u00f3 en los tres sistemas principales: Sabre (fundado en 1960), Amadeus (fundado en 1987) y Galileo (ahora parte de Travelport). Estos sistemas administran<\/a> m\u00e1s del 90 % de las reservas de vuelos, al igual que de hoteles, coches y otras reservas de viajes.<\/p>\n Por ejemplo, Lufthansa y AirBerlin trabajan con Amadeus y con el operador tur\u00edstico Expedia. American Airlines y la aerol\u00ednea rusa Aeroflot operan con Sabre. De todos modos, es dif\u00edcil asegurar qu\u00e9 GDS almacena los datos personales de un pasajero en particular. Por ejemplo, Si reservas un billete para un vuelo de American Airlines en Expedia, tanto Amadeus como Sabre registran la transacci\u00f3n.<\/p>\n Dependiendo de las normas del sistema de reservas, los registros GDS suelen contener el nombre del pasajero, el n\u00famero de tel\u00e9fono, la fecha de nacimiento y los datos del pasaporte, as\u00ed como el n\u00famero de su boleto, aeropuertos de salida y destino y la fecha y hora del vuelo. Tambi\u00e9n incluye la informaci\u00f3n de pago (el n\u00famero de la tarjeta de cr\u00e9dito). En otras palabras, datos confidenciales.<\/p>\n Nohl y Nikodijevic se\u00f1alaron que muchas personas tienen acceso a esta informaci\u00f3n, incluidos los trabajadores de las aerol\u00edneas, operadores tur\u00edsticos, representantes de hoteles y otros agentes. Los investigadores suponen que las agencias gubernamentales tambi\u00e9n pueden leer esta informaci\u00f3n. Pero es solo la punta del iceberg.<\/p>\n Para acceder y cambiar esta informaci\u00f3n, los GDS utilizan el nombre del viajero como dato de acceso y un c\u00f3digo de reserva de seis d\u00edgitos (muchos viajeros lo conocen como PNR<\/a>) como contrase\u00f1a. S\u00ed, el PNR est\u00e1 impreso en el billete y en las etiquetas del equipaje. Y es la contrase\u00f1a.<\/p>\n \u201cSi se supone que el PNR ha de ser una contrase\u00f1a segura, deber\u00eda tratarse como tal\u201d, asegur\u00f3 Nohl en la conferencia. \u201cPero no lo mantienen en secreto: se imprime en cada equipaje. Se imprim\u00eda en cada billete hasta que lo sustituyeron por un c\u00f3digo de barras\u201d. Dicho c\u00f3digo de barras sigue conteniendo el PNR.<\/p>\n La mayor\u00eda de los viajeros no comprende el funcionamiento interno de la industria de vuelos y publican con entusiasmo sus billetes en Internet junto con el PNR cifrado en un c\u00f3digo de barras. Sin embargo, un c\u00f3digo de barras no es ning\u00fan misterio<\/a>, pues un software<\/i> especial puede leerlo. Por lo que cualquiera<\/i> que le haga una foto a la etiqueta de tu equipaje en el aeropuerto o que encuentre tu billete en Internet puede acceder a tu informaci\u00f3n privada. No tienes que ser un hacker<\/i> para sacar provecho de las vulnerabilidades de PNR (solo tienes que saber d\u00f3nde mirar). En este v\u00eddeo puedes ver c\u00f3mo Nohl y Nikodijevic decodificaron el c\u00f3digo de barras del billete en una foto que estaba en Instagram.<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2017\/01\/05195517\/airplanetickets-on-instagram-594x1024.jpg\")
<\/p>\n