Los peligros del código de reserva de los vuelos comprados por internet: exponen tus datos personales y amenazan tu privacidad

05/01/2017 - 15:15:01
BBC.- Reservar un vuelo por internet es sencillo, pero no necesariamente seguro en lo que respecta a la privacidad.
Comprar un pasaje a�reo por internet es cada d�a m�s f�cil. Tan solo tienes que seleccionar el trayecto y la fecha, rellenar tus datos, efectuar el pago y hacer clic en la opci�n "reservar vuelo".
A partir de ese momento, todo queda grabado en un c�digo que recibes por correo electr�nico y que garantiza tu reserva. As� de f�cil.
Ese c�digo alfanum�rico de cinco o seis d�gitos es clave. Los especialistas lo llaman PNR -acr�nimo en ingl�s de Passenger Name Record (en espa�ol, registro de nombre de pasajero)- y almacena mucho m�s que los datos de tu vuelo.
"Cualquiera que tome una foto de tu c�digo PNR -o lo encuentre por internet- puede saber qui�n eres, a d�nde viajas y con qui�n, cu�l es tu tel�fono m�vil, tu direcci�n postal, tu email, tu itinerario de viaje, tu asiento e incluso los n�meros de tu tarjeta de cr�dito", le cuenta a BBC Mundo Karsten Nohl, un especialista en ingenier�a inform�tica y experto en criptograf�a que trabaja en la compa��a de seguridad alemana Security Research Labs.
La consultora acaba de publicar un informe alertando sobre lo que considera una "amenaza a la privacidad de los viajeros", que Nohl present� el pasado mes de diciembre en el Chaos Communications Congress, el evento anual m�s grande de Europa sobre hacking.
L�nea

El PNR es un c�digo de 5 � 6 d�gitos impreso en la tarjeta de embarque y en la etiqueta de facturaci�n del equipaje.
�Qu� es el PNR?
PNR (Passenger Name Record) es el c�digo de reserva que utilizan las compa��as para acceder a la informaci�n sobre los viajeros.
Est� impreso en la tarjeta de embarque y en la etiqueta del equipaje.

Nohl lleva m�s de una d�cada investigando este asunto.
El cript�grafo asegura que usamos este sistema desde la era predigital, de los a�os 70 y 80, y que apenas ha cambiado desde entonces, a pesar de los riesgos de hackeo que implica la gesti�n de reservas online.
Cualquiera que tenga tu c�digo PNR puede saber qui�n eres, a d�nde viajas y con qui�n, cu�l es tu tel�fono m�vil, tu direcci�n, email e incluso los n�meros de tu tarjeta de cr�dito
Karsten Nohl, Security Research Labs.
Wikimedia Commons

"Tan solo con el apellido del pasajero se puede encontrar su c�digo de reserva en internet sin gran esfuerzo", dice Security Research Labs en su informe.
Pero el uso de este sistema no se reduce a viajes a�reos. Tambi�n se utilizan para reservar habitaciones de hotel, comprar billetes de tren o alquilar autos por internet,
Lo m�s preocupante, se�ala Nohl, es que no est� protegido por ninguna contrase�a. Y queda impreso en nuestra tarjeta de embarque y en la etiqueta de nuestro equipaje.
�Se acerca la muerte de las contrase�as?
viajeros aeropuertoImage copyrightWIN MCNAMEE/GETTY

Los hackers pueden utilizar este sistema para manipular informaci�n sobre los viajeros o robar su identidad.
"El PNR contiene mucha m�s informaci�n personal de lo que la mayor�a de la gente piensa. Puede incluir informaci�n sobre con qui�n viajas, cu�ntas habitaciones de hotel reservaste, qu� men� pediste en el avi�n o con qu� direcci�n IP hiciste la reserva", le explica a BBC Mundo el escritor y periodista estadounidense Edward Hasbrouck, autor del libro "The Practical Nomad" (2001) y consultor en Identity Project, una iniciativa para resolver cuestiones de libertades civiles que afectan a los viajeros.
"Los datos m�s delicados son los relacionados con el propio viaje: d�nde vas a estar y cu�ndo. Esa informaci�n pueden usarla para espiarte y acosarte, o para entrar a robar en tu casa cuando no est�s", advierte Hasbrouck, quien lleva 15 a�os investigando este asunto.
"Tambi�n hay riesgos potenciales de robo de identidad", a�ade.
C�mo evitar que un trol te robe la identidad en internet
C�mo protegerse de las estafas m�s comunes en internet
En cuanto a los riesgos de fraude financiero, el experto sostiene que son "menos serios" y que afectar�an principalmente a las agencias de viaje o a las aerol�neas, y no a los consumidores.
L�nea

Es un peligro publicarlo en redes sociales como Instagram.Image copyrightSECURITY RESEARCH LABS
Image caption
No es recomendable publicarlo en redes sociales como Instagram.
�Qu� puede hacer un tercero malintencionado con tu PNR?
Existen cuatro tipo de abusos potenciales:
Invasi�n de tu privacidad: el c�digo contiene informaci�n de contacto, fechas de viaje y preferencias y, a menudo, los datos de tu pasaporte.
Robo de vuelos: la mayor�a de las aerol�neas permite cambiar tu vuelo o incluso cancelarlo con tu PNR, haciendo posible que un defraudador vuele gratis.
Desviaci�n de millas: al cambiar la informaci�n sobre el viajero en la reserva, pueden robar tus millas a�reas sin comprar otro vuelo.
Pishing/vishing: los hakcers pueden usar pr�cticas fraudulentas de ingenier�a social (obtener informaci�n confidencial) y acceder a tus datos de pago o credenciales.
Fuente: Security Research Labs
L�nea

Los especialistas se�alan la necesidad de que se tomen medidas en lo que consideran "un conflicto entre seguridad y privacidad que la industria del turismo debe resolver", en palabras del propio Nohl.
Las claves para proteger su informaci�n personal en internet
La preocupaci�n por la seguridad ante ataques y atentados llev� a modificar los acuerdos PNR entre la Uni�n Europea y Estados Unidos que permiten la transferencia de informaci�n a las autoridades como parte de la "lucha contra el terror".
Uno de los m�s pol�micos se firm� luego de los ataques del 11 septiembre de 2011 en la ciudad de Nueva York, EE.UU., y permiti� la transferencia de datos a largo plazo de pasajeros europeos a las autoridades estadounidenses.

Un acuerdo de 2012 entre Estados Unidos y Europa suscit� gran pol�mica y protestas en la sede del Parlamento Europeo en Estrasburgo, Francia.
"Desde la perspectiva legal es complicado porque depende de las regulaciones de cada pa�s", dice Nohl.
Pero hay m�s actores involucrados.
Los Sistemas de Distribuci�n Global gestionan las reservas del 90% de los pasajes a�reos en todo el mundo y se reducen a tres compa��as: una con base en Espa�a, Amadeus (Air France, Lufthansa, Iberia y Scandinavian Airlines), y dos en Estados Unidos, Sabre (American Airlines e IBM) yTravelport (de la uni�n entre Galielo y Worldspan en 2007).
El PNR contiene mucha m�s informaci�n personal de lo que la mayor�a de la gente piensa.
Edward Hasbrouck, autor de "The Practical Nomad" (2001) y consultor en Identity Project
Las posibles soluciones

Para Nohl, una soluci�n fundamental ser�a proporcionar una contrase�a a los viajeros a la hora de hacer su reserva. Pero advierte que eso llevar� tiempo, pues requerir� de la colaboraci�n de las instituciones.
Seg�n el cript�grafo, la forma en la que son escogidos los c�digos PNR los hace menos seguros que cualquier contrase�a de cinco d�gitos.
Adem�s, tanto los GSD como los sitios web de las aerol�neas permiten hacer miles de reservas a trav�s de una sola direcci�n IP, lo cual pone en riesgo al comprador.
Por su parte, Hasbrouck sostiene que los usuarios "necesitan demandar urgentemente cambios t�cnicos a las compa��as y pedir que se refuercen las leyes de protecci�n de datos".
hombre sosteniendo billete de avi�nImage copyrightTHINKSTOCK

Lo mejor es que trates tu c�digo y tu localizador como si fueran contrase�as muy delicadas, dicen los expertos.
Nohl le cont� a BBC Mundo que actualmente est� "en conversaciones" con dos de esas tres empresas GDS, aunque no quiso dar m�s detalles.
La reacci�n de las compa��as fue la siguiente:
"Estamos evaluando los resultados de las investigaciones sobre la seguridad de la industria de viajes y hemos hecho mejoras. Damos prioridad a la seguridad de los clientes y de los datos y revisamos continuamente nuestros sistemas y procesos", le respondi� a BBC Mundo un vocero de Amadeus.
"Tendremos en cuenta esos hallazgos y trabajaremos juntos con nuestros colaboradores para abordar las cuestiones y buscar soluciones a problemas potenciales", agreg� la fuente.
En Travelport destacaron la "ciberseguridad y la privacidad del cliente como prioridades cr�ticas" y se�alaron que est�n haciendo "continuas inversiones en sus propios sistemas y comprometi�ndose con varios actores de la industria para mejorar cualquier cambio recomendado para hacer reservas por internet".
Y Timothy Enstice, director de comunicaci�n de Sabre, dijo que "el acceso no autorizado a la informaci�n de los viajeros a trav�s de GDS es bastante improbable porque tenemos numerosas capas de seguridad para restringir el acceso", y se�al� que "son otros actores del sector de viajes quienes deben adoptar medidas similares de estricta seguridad ".

Hasbrouck aconseja tratar el c�digo y el localizador de reserva como si fuera "una contrase�a especialmente delicada", pues no puede modificarse.
Esto es lo que aconseja el experto:
Tritura o quema tus tarjetas de embarque, etiquetas de equipaje y los itinerarios y correos de las aerol�neas y agencias de viajes que hayas impreso y que contengan el c�digo o el localizador.
Quita las etiquetas del equipaje (y esc�ndelas hasta que puedas destruirlas) tan pronto como recojas tu equipaje.
Nunca compartas tu localizador o lo leas en voz alta por tel�fono en p�blico. No lo compartas con nadie que no sea tu aerol�nea o tu agencia de viajes.

Estimados lectores: recuerden que estas noticias las pueden encontrar en nuestro Canal de Whastapp al momento de su publicación.

Sigue el canal de Hoybolivia.com en WhatsApp:
whatsapp.com/channel/0029Va8B7PQ3GJOyC41B2Q1a