Los peligros que encierran los códigos de barras de tus entradas y tarjetas de embarque

Sonia-blogger
Moderador Senior

Desde el equipo de ciberseguridad de Telefónica España, nos advierten de la información oculta que hay en los códigos de barra o códigos bidi de billetes de avión, paquetes de mensajería o incluso entradas a conciertos.

 

Actualmente no se tiene consciencia de la cantidad de información que podemos hacer pública al compartir o extraviar ciertos documentos o información como cajas de paquetería, entradas de eventos, billetes de avió etc. Estos documentos llevan impresos códigos escaneables que contienen principalmente información codificada que puede ser fácilmente decodificada y utilizada de forma fraudulenta.

 

 

Entradas a eventos

 

Uno de los casos más comunes es en las entradas a eventos. Alguien adquiere una entrada a un evento y comparte una fotografía de esta en sus redes sociales con el código de barras que se escaneará en la entrada visible. Con esa información se puede proceder a la reimpresión de la entrada utilizando el código de la foto duplicándola y permitir así el acceso al evento o revendiéndola, creando el correspondiente perjuicio al propietario de esa entrada.

 

Entrada concierto.jpg

 

 

Tarjetas de embarque

 

Otro de los casos que se han encontrado son las tarjetas de embarque. Se comparte una foto de la tarjeta de embarque del destino al que se va a viajar, normalmente, tapando previamente datos como hora de despegue, número de pasajero frecuente, etc.…pero dejando visible el código que se escaneará del billete y que también contiene toda la información que ha sido inútilmente tapada.

 

tarjeta de embarque.jpg

 

 

Paquetería

 

paquete.jpgExiste otro ámbito en el que también podemos poner en riesgo nuestra información personal, es el de la paquetería. Con la compra de productos por internet, encontramos en las cajas de lo paquetes de envío etiquetas con códigos escaneables, estas contienen información como nombre y dirección del destinatrio.

 

 

¿Cómo se descifra la información?

 

Este tipo de prácticas se ha convertido en algo habitual puesto que descifrar la información que contienen los códigos de barras, sin necesidad de tener el documento en formato físico, y poder realizar acciones como fraude o suplantación de identidad, es relativamente sencillo utilizando herramientas disponibles en internet.

 

Traducir a texto la información que contiene un código de barras o bidi y poder acceder a ella, hoy en día es sencillo y gratuito, basta con obtener el código en una caja de paquetería, billete de avión o entrada y utilizar un software de los múltiples que encontramos por internet y que realizan la decodificación del código haciéndolo interpretable.

 

codigos.png

 

Para ello podemos tomar el siguiente ejemplo de un código de un billete de avión. Tras introducir una foto del código en la web, obtenemos los siguientes caracteres decodificados y que son interpretables:

 

M1HERNANDEZ/JOSE MR      1B11B2 MADBCNIB 315 107Y14C 40    00

 

  • M1: Código de formato M1
  • HERNANDEZ/JOSE MR: Nombre del pasajero
  • 1B11B2: La referencia de la reserva del billete.
  • MADBCNIB: Vuelo de Madrid a Barcelona con la aerolínea Iberia.
  • 315: Numero de vuelo
  • 107: La fecha en Juliano: abril 2017.
  • Y: Código de cabina, clase turista
  • 14C: Asiento
  • 40: Numero de secuencia, en este caso, la persona 40 en hacer el registro
  • 00: Tamaño del campo del mensaje de datos específicos de la aerolínea. 00 ya que no hay ninguno.

 

Estos códigos contienen no sólo datos del vuelo, si no del pasajero como puede ser la cuenta de viajero frecuente. Por ejemplo, con el apellido y el número de localizador se puede acceder a información adicional como el número de teléfono, vuelos futuros reservados, etc.

 

Usando estos datos de forma fraudulenta, podríamos cambiar asientos o cancelar, modificar cualquier vuelo que se vaya a realizar más adelante, conocer qué personas han viajado y estaban incluidas en la reserva, o incluso para poder acceder a las cuentas de los usuarios de la aerolínea. Sin ir más lejos, en Lufthansa se puede acceder con el número de pasajero frecuente y el nombre del pasajero. Este fallo de seguridad ha permitido que se cree un mercado negro de puntos de fidelidad con cuentas de viajero frecuente hackeadas.

 

 

¿Cómo proteger nuestros datos?

 

A la hora de publicar ciertos contenidos en las redes sociales, dejar billetes de avión en papeleras, asientos del avión o en basuras o al deshacernos de paquetes que hemos recibido, como decimos siempre, sentido común, es la manera de protegerse ante estas amenazas y riesgos.

 

La mejor forma de no exponerse es no compartir en redes sociales este tipo de información y revisar que nuestras cuentas estén bien configuradas en cuanto a privacidad, de forma que las publicaciones no sean accesibles para personas que no deseemos.

 

A la hora de deshacernos de ciertos documentos o paquetes, es recomendable antes, destruirlos o hacerlos ilegibles rompiendo las etiquetas o rayándolas. Un simple gesto como romper en pequeñas partes un billete o pintar el código de una etiqueta de un paquete puede ser suficiente.

 

Algo que a priori parece tan poco importante, como un código de barras, puede dar lugar a exponer de forma pública información de la que no somos conscientes y no deseamos que sea accesible.