Vulnerabilidad en Airportr expone datos de usuarios y aerolíneas de élite, poniendo en riesgo viajes y seguridad personal

Vulnerabilidad en Airportr expone datos de pasajeros y funcionarios

Una falla de seguridad detectada recientemente en el sitio web de Airportr, un servicio exclusivo de gestión de equipaje en Reino Unido y Europa, reveló información sensible de sus usuarios. Entre los datos comprometidos se encuentran planes de viaje, pasaportes digitales, números de teléfono, direcciones y registros de vuelo, lo que genera un riesgo elevado de robo, espionaje y fraudes. La alerta fue emitida por expertos en ciberseguridad de la firma CyberX9, quienes descubrieron una serie de errores en el diseño de la plataforma que podrían haber sido explotados por hackers sin conocimientos técnicos avanzados.

El alcance de la brecha y sus posibles consecuencias

Airportr trabaja con al menos diez aerolíneas importantes, incluyendo American Airlines, British Airways, Lufthansa y Virgin Atlantic. Ofrece a sus clientes servicios como recogida, chequeo y entrega de equipaje en rutas europeas y británicas, atrayendo especialmente a viajeros frecuentes y personalidades de alto perfil. Sin embargo, esta misma clientela de élite convirtió la brecha en una amenaza aún mayor. Los investigadores detectaron que en la muestra analizada había usuarios con pasaportes diplomáticos de Reino Unido, Estados Unidos y Suiza, además de funcionarios vinculados a la ciberseguridad de diferentes gobiernos.

Los expertos de CyberX9 encontraron que era posible que cualquier usuario modificara la contraseña de otra cuenta simplemente con conocer su dirección de correo electrónico, gracias a una vulnerabilidad en el sistema de recuperación de contraseñas. Además, la plataforma no limitaba los intentos automatizados para adivinar claves, facilitando ataques masivos y silenciosos. También lograron acceder a credenciales administrativas mediante correos electrónicos públicos, lo que les permitió asumir control total de la plataforma y simular ser administradores.

## Datos expuestos y riesgos

La brecha permitió a los hackers obtener información valiosa, incluyendo nombres, teléfonos, direcciones, historiales de viaje, copias digitales de pasaportes y firmas. Estos datos tienen un gran valor para cibercriminales o agentes de inteligencia interesados en espionaje o fraudes. Según el director de CyberX9, Himanshu Pathak, esta vulnerabilidad representa una exposición total de la base de datos de pasajeros y operaciones, dejando en evidencia la gravedad de dejar información tan sensible en manos de terceros.

Con acceso no autorizado a cuentas administrativas, los atacantes hubieran podido desviar equipaje, cancelar vuelos o incluso realizar campañas de phishing usando las cuentas oficiales de Airportr. Aunque la compañía asegura que el acceso fue simulado por investigadores para alertar sobre las fallas, los expertos apuntan que la simplicidad de las vulnerabilidades podría haber sido explotada previamente por actores maliciosos antes de su detección y reparación.

Respuesta de Airportr y advertencias finales

El CEO de Airportr, Randel Darby, admitió la existencia del problema y afirmó que la empresa tomó medidas inmediatas para aislar y solucionar las partes vulnerables del sistema en abril, poco después de ser alertados. Según Darby, las acciones correctivas se completaron en pocos días y no hay evidencia de que los datos hayan sido utilizados de manera maliciosa. Sin embargo, la compañía no notificó en su momento a los usuarios afectados ni a las aerolíneas, argumentando que la investigación interna consideró que el riesgo era bajo.

Solo tras la difusión de los hallazgos y el interés mediático, Airportr informó a las autoridades de protección de datos del Reino Unido como medida de precaución. Este incidente subraya la importancia de garantizar la seguridad en plataformas que manejan información tan delicada, especialmente cuando están vinculadas a servicios de alto perfil y clientes diplomáticos.