Una vulnerabilidad en los códigos de barra de los pases de abordar podría permitir que los viajeros introduzcan objetos prohibidos a bordo en las aerolíneas domésticas de Estados Unidos, afirmó un experto en seguridad.
Los códigos revelan detalles sobre las requisas que se llevarán a cabo en pasajeros, y pueden ser leídos por los teléfonos inteligentes.
El nuevo hallazgo podría interferir con el sistema estadounidense PreCheck, que escoge aleatoriamente entre los viajeros frecuentes a quienes no tienen que pasar por el proceso de seguridad previo al abordaje.
A través de los códigos de barra, los pasajeros podrían averiguar con anticipación si han sido escogidos por el sistema.
Los viajeros seleccionados pueden evitar quitarse los zapatos, el abrigo y el cinturón. Además, están autorizados a dejar sus computadoras portátiles y artículos personales en su equipaje de mano.
Códigos indescifrables
La información de seguridad en los códigos de barras está diseñada para ser descifrada únicamente por oficiales de la agencia estadounidense de Administración de Seguridad en el Transporte (TSA, por sus siglas en inglés).
Nunca se pensó que el seleccionar pasajeros aleatoriamente para que pasen por proceso de seguridad menos riguroso a través del sistema PreCheck pudiera causar conflictos.
El hecho de que los viajeros puedan hacer uso de sus teléfonos para saber si han sido seleccionados puede resultar problemático, asegura Christopher Soghoain, principal técnico de la Unión Estadounidense por las Libertades Civiles.
"La cifra corresponde al número de pitidos. Con un pitido no hay PreCheck, con 3 si."
John Butler, blogger de aviación
"La revelación de esta información puede suponer que los criminales ya no estén vigilados", señaló.
El tema de seguridad fue divulgado por el bloguero de aviación John Butler, pero ha sido objeto de discusión en foros virtuales especializados desde el verano pasado.
"El problema es que la información del pasajero y sus datos de vuelo, ambos descritos en el código de barras, no están cifrados de ninguna manera", dijo Butler.
"Con ayuda de una página de internet logré descodificar el pase de abordar de mi próximo vuelo", agregó.
"Todo el registro de nombres de los pasajeros, incluyendo la selección de asiento, el número de vuelo, nombre y demás, se puede leer con el código. Pero lo interesante es el número 3 en negrilla que se encuentra al final de algunas tarjetas de embarque. Se trata de la información de PreCheck TSA".
La agencia estadounidense de Administración de Seguridad en el Transporte no quiso dar declaraciones al respecto a la BBC, pero había dicho anteriormente que: "La TSA no realiza comentarios sobre especificidades del proceso de chequeo, que contiene medidas visibles y ocultas. Además, incorpora medidas de seguridad aleatorias e impredecibles a lo largo del proceso del viajero".
Cuestiones criptográficas
Soghoian le dijo a la BBC que la información sobre cómo descifrar los códigos de barra de las tarjetas de embarque está documentada en la guía de implementación de la Asociación Internacional del Transporte Aéreo (IATA, por sus siglas en inglés).
"Hemos recibido información de miles de personas que han logrado acceder a la información codificada a través de sus teléfonos inteligentes", agregó.
Hay dos maneras en que un viajero puede beneficiarse del sistema PreCheck.
Los pasajeros pueden pagar una suma de US$100 a la agencia de aduanas estadounidense, que entonces se encarga de llevar a cabo un chequeo de verificación. Si el viajero es aprobado, se le da la autorización de utilizar todos los sistemas de PreCheck de las aerolíneas estadounidenses durante cinco años.
"Nadie debería poder predecir el nivel de seguridad del chequeo previo al vuelo"
Graham Cluley, Sophos
Los viajeros frecuentes también pueden recibir una invitación directa de la aerolínea para utilizar el sistema de manera gratuita.
"Hay que estar en el sistema para poder ser elegido aleatoriamente y evitar las colas", explicó Soghoian.
"Pero escaneando el código de barras, el pasajero puede saber con 24 horas de antelación que no tiene que pasar por la requisa rutinaria".
"En algunos casos esporádicos, el sistema de todas formas conduce a la persona a la otra fila –método que pretendía tener un mayor control sobre los terroristas- pero gracias a esta anomalía ya no es posible".
La empresa de seguridad Sophos afirmó que la revelación es "muy preocupante, nadie debería poder predecir el nivel de seguridad del chequeo previo al vuelo", expresó el consultor técnico experto en tecnologías de la firma, Graham Cluley.
"El gran riesgo es que posibles agresores logren determinar con anticipación quien podrá evadir el chequeo de seguridad, para después tratar de introducir elementos prohibidos a bordo".
"La información que concierne a las medidas de seguridad no debe serle suministrada de antemano a posibles agresores".
0 comentarios:
Publicar un comentario