Si alguna vez has tirado un billete de avión a la basura sin destrozarlo antes o lo has compartido en Instagram, siéntate a ver esta charla. Charla del congreso de hackers de Hamburgo celebrado la semana pasada que muestra lo fácil que es secuestrar el vuelo de otra persona usando solamente una foto de su billete. "A diferencia de otras demostraciones anteriores, en esta no va a haber mucho hacking -advierte Karsten Nohl al principio de su conferencia-. Pero no porque le hayamos perdido el gusto, sino porque no nos ha hecho falta".
Comentarios
Hace tiempo salieron 2 noticias similares las numerare:
1.- Imbecil que enseño su cartera de bitcoins y con la foto se la birlaron.
2.- Gilipollas que enseño su apuesta deportiva premiada en foto, y tambien se la birlaron.
Luego he visto casos de gente que hubo una moda de sacar fotos en plan selfie con la tarjeta de credito y tambien hubo casos.
La peña es tonta y aunque se lo digas seguiran haciendo lo mismo.
#2 Si, el formar parte de una red social tipo Facebook o Twitter demuestra poca inteligencia.
#3 Yo tengo face con nombre falso, es cojonudo para cuando juegas a determinados juegos, te ahorras contraseñas y demas. Con no subir fotos ni temas personales...
Aunque ya conozco a mas de uno que "estoy enfermo, no puedo ir a trabajar" y al dia siguiente acabar en la puta calle por que el muy imbecil salio de fiesta y subio las fotos a facebook.
#6 #3 No hace falta ir al tercer mundo, en algunos países de centroamérica, sin llegar a los de pobreza extrema, el control de aduanas del aeropuerto y el embarque es excesivamente estricto, y no solo con la documentación, ten dudas en alguna pregunta concreta que te hagan y será suficiente para dejarte esperando un ratito suficiente como para perder el vuelo.
(Por cierto #6, soplar y hacer botellas? no sabía que en castellano también se usaba la expresión :P)
#2 Recuerdo a un tontuno de esos que estaba haciendo streaming de cómo abría un juego para PC (creo que era el GTA V) y sacó la cartulina donde viene el serial y la enseñó a cámara. Cuando terminó de instalarlo y el juego le pidió el número de serie, al meterlo le salía un error que decía "ese número de serie ya ha sido usado. Por favor use otro" La cara de tonto que se le quedó al chaval fue épica
#8 En casos como ese me quedaría la duda de si el chaval es realmente tonto... o si todo lo contrario, y ha hecho eso a propósito para ganar audiencia, pasta en anuncios y parecidos. Podría salirle bastante rentable si sabe jugar bien sus cartas.
#28 Pues no sé, pero tenía cara de no ser tan listo jajajja
#8, ¿me estás diciendo que hacen juegos de PC para que no se puedan revender ni prestar? El mismo juego en Play Station (y cualquiera que yo sepa) no tiene este problema (salvo quizá contenidos descargables extras).
#31 Trata de revender un juego de Steam que ya hayas activado en tu cuenta: imposible (creo yo)
#42, sí claro, en la play station si compras online pues tampoco lo puedes revender. A cambio online hay juegos que están más baratos que en físico (van saliendo ofertas).
#31 Efectivamente. Ahora te venden muchos juegos de PC en formato físico que en realidad dependen de una clave de Steam de un sólo uso que viene dentro de la caja, lo cual supone:
- Que no puedes empezar a jugar con el juego sin conexión a Internet aunque sea un juego local de un jugador
- Que obligatoriamente tienes que descargar actualizaciones antes de jugar (esto no pasa en consola, donde la actualización es opcional si es un juego local)
- Que no puedes revender el juego (en consola ningún juego físico requiere de claves de activación, más que para DLCs o fondos)
Al final es prácticamente lo mismo que comprar el juego directamente en Steam, solo que tienes un bonito disco-pisapapeles para poner en tu estantería.
#2 El de la apuesta fué Pipi Estrada.
http://www.cuantocabron.com/trollface/aprende-algo-del-genio-pipi-estrada-no-cuelgues-fotos-de-los-tickets-de-tus-apuestas-premiadas
Probad a comprar un vuelo de un día para otro o con fin de semana por medio con una cuenta sin fondos. De nada.
#4 Calla, coño, que vas a reventar el chollazo.
#4 ¿y eso?
#4 no nos dejes así a medias ahora
#4 Te aprobarán la compra pero no dudes que después de volar, la denuncia te la comes...Además tienen todos tus datos para hacerla...
¿experiencias?
#48 Conozco a dos personas a las que les funcionó... Yo no lo he experimentado, la verdad: no me atrevo 😛
Interesante tutorial para encarar la cuesta de enero .
#12 lo mismo de Estocolmo a Barcelona en mayo, con Norwegian. Flipé al no enseñar el DNI en ningún momento. Se podía haber metido otra persona, un terrorista, un refugiado, un exiliado, un menor de edad o quien hubiera querido... muy fuerte.
#17 pues cuando vuelvas en un vuelo del mil pavos y un chino haya volado el dia anterior (porque puedes cambiar la fecha) te darás de cabezazos. O se roba el vuelo y se vende a un tercero y listo. Todo es una chorrada hasta que te pasa a ti
#19 El punto clave es el de adelantar la fecha.
De todas formas, se tiene que dar el caso de que no se pidan el nombre, y poner uno falso.
En ese caso sí que se puede hacer. Ahora, como les dé por comprobarlo, en un aeropuerto jodido lo tienes para escapar.
#23 En el de Castellón más jodido aun. Es solo para personas. Humanas.
Este hombre, pinta lo de hacerlo como que fuera soplar y hacer botellas. No se como sera en Europa o en el resto del mundo, pero en el 3er mundo, desde que llegas a la taquilla para confirmar la reservación o pagar el billete, hasta que te montas en el avion, debes tener tu identificación pegada en la frente y cuidado que el nombre y apellido no coincidan al 100% por que igual te dejan en cualquier punto, mientras ves que el avion despega...
#6 Doy fé. He viajado a un par de paises africanos y en el aeropuerto te piden el pasaporte cada diez pasos, desde que llegas al mostrador de facturación hasta que subes al avión si no tienes que enseñar el pasaporte 10 veces son 15. Y a lo mejor me quedo corto.
#6 Esto va como va, pero no puedes arriesgarte: hace poco volví a Barcelona de un vuelo dentro de Europa y me llamó mucho la atención que ni para facturar, ni para entrar en el avión me pidieron el DNI. No lo saqué del bolso en todo el viaje hasta que llegué a casa. Y precisamente pensé eso: cualquiera aprendiéndose los seis caracteres de mi reserva vuela en mi lugar...
#6 #12 En el aeropuerto de Bruselas Zaventem (tristemente famoso por el atentado) no piden DNI ni pasaporte para absolutamente nada. Con el código QR que va en el billete te identifican, sin importarles si dicho billete está a tu nombre o no.
Por cierto, como explica el artículo incluso se puede burlar al sistema cuando piden identificación: puedes simplemente cambiar los datos del viajero y poner los tuyos.
#13 Cosas del Espacio de Shengen: https://es.wikipedia.org/wiki/Espacio_de_Schengen
Igual que no te piden el DNI cuando te subes a un autobús de Madrid a Barcelona, tampoco te lo piden si vas de Madrid a Bruselas en avión... aunque podrían.
#29 No creo que sea por eso, vuelo regularmente dentro de España y siempre me han pedido el DNI. Tanto al entrar al avión, donde lo cotejan con la tarjeta de embarque, como si facturas, al dejar la maleta. Son normas de seguridad.
Aún recuerdo el tiempo en que sacabas un billete para tu madre, ella no podía volar e iba tu tía con el mismo billete, y se podía sin hacer ningún trámite adicional, simplemente diciéndolo en el aeropuerto. Eso si, aún pasabas por check-in llevaras o no maleta.
#34 No vuelo tan regularmente, pero en los últimos 5 años por Europa me he encontrado de todo. Desde pasar el pasaporte biométrico por la máquina, pasando por que me mirasen el DNI, hasta alguna vez que me "pidieron el pasaporte" solo para ver que llevaba uno (sin abrirlo siquiera), o no pedirme nada de nada. YMMV
#12 #13 #29 el año pasado realicé casi cada semana el trayecto Barcelona - Frankfurt - Barcelona. En el 99% de las salidas desde Barcelona me pedían el DNI en la puerta de embarque y lo cotejaban con el billete. Sin embargo, en las salidas desde Frankfurt NUNCA me pidieron identificarme. Cualquier persona podría haber volado con mi pasaje.
Ni siquiera me pidieron identificarme en el par de ocasiones en que Frankfurt aumentó las medidas de seguridad ante las posibles amenazas, donde lo único diferente fue que había más policía y más saturación en el tren para ir al aeropuerto ante las posibles (e inexistentes) colas de espera.
#13 Depende de la compañia. Yo vole con Ryanair y me lo pidieron al facturar para TODOS los pasajeros (pese a que sólo facturaba uno) y luego a la puerta de embarque.
p.d: en ningun aeropuerto del espacio schengen te piden Dni para pasar control de seguridad
#44 Como dice #38, seguramente depende de la compañía. Mi comentario era por lo tanto demasiado general, aunque la esencia es la misma.
#38 Obviamente me refería al embarcar, no al pasar el control de seguridad. Y como he dicho en otro mensaje, probablemente tienes razón y depende de la compañía. Con la que yo volaba habitualmente no se pedía nunca.
Hace ya mucho tiempo, utilizando fotos de billetes de avión de Twitter, he entrado a la gestión web de la compañía aérea y he visto que efectivamente hay opción de realizar ciertas operaciones. Me imagino que como yo, esto lo habrá hecho mucha gente.
Sin embargo, no veo fácil poder sacar ningún provecho de ello. Aunque #13 esté en lo cierto, también es cierto que si tu te cuelas con un QR code suplantando el asiento de otro, cuando venga la persona que ha comprado el billete y demuestre que él es el propietario, te van a pillar. ¡Como mínimo te tienen detenido unas horas como sospechoso de terrorista!
#13 Me extraña mucho lo que dices porque estuve allí el fin de semana pasado y sí me pidieron una identificación. Es más, nunca he cogido un avión en el que no me hayan pedido una identificación en la puerta de embarque, ni siquiera vuelos nacionales.
Al autor del comentario #6
1.- Existen muchas compañías europeas (Lufthansa, Norwegian...) que en sus países no te piden en ningún momento el DNI para acceder. Escaneas el código y se te abre el torno como en el metro.
2.- Este artículo habla precisamente de cambiar el nombre, es decir, no seguir el proceso del punto anterior. Y con esto enlazo con el tercer punto...
Al autor del artículo (no digo el hacker, seguramente el redactor le malinterpretó):
3.- Tu cambia ilegalmente el nombre de un billete por el tuyo propio para colarte en un vuelo. ¿Cómo coño haces para que no descubran que has sido tú el que has realizado la estafa?
#6 Lo segundo que podrían haber hecho en checkmytrip.com usando una foto de tu billete en Instagram es: modificar la fecha, el destino y, en algunos casos, hasta el nombre del pasajero. O cancelarlo y cambiarlo por un cupón para comprar otro vuelo no relacionado.
No entiendo cual es la magia.
Si la clave son unos datos secretos y esos datos son revelados... ¿donde está la sorpresa?
#25 No se trata de magia, sino de una chapuza.
Los datos personales asociados al vuelo deberían ser secretos... pero se accede a ellos con un usuario/clave que no son secretos, y que la gente ni siquiera se da cuenta de la importancia que tienen.
#25 en el vídeo lo explican. Ese dato "secreto" es el código de reserva de seis cifras. Ese dato se imprime en tu billete y en las pegatinas de las maletas que facturas. Además, como explican en el vídeo, se puede atacar por fuerza bruta.
Basicamente ese código es tu password para gestionar el vuelo, pero no es un password muy seguro.
Un ejemplo que explican es como hacer phising con esa información. Por fuerza bruta monitorizan las nuevas reservas. Cuando tú haces tu reserva, recibes un correo con todos los datos de tu vuelo perfectamente correctos, y un enlace para que confirmes tu número de tarjeta, solo que ese enlace no lleva a tuaerolinea.com, si no a suaerolinea.com
#57 "El PNR no es una contraseña. Para acceder hacen falta una serie de datos. Con esos datos nada más no puedes hacer nada"
O sea que no has visto el vídeo.
En fin, no sé si estás intentando trolearme o si realmente no eres capaz de entender de qué va el tema, pero ahí te quedas.
#50 #51 Anda, mírate el vídeo de la noticia.
#53 ¿El vídeo en el que te dicen que tienes que tener acceso al sistema para poder ver los datos?
No quería entrar al trapo del video, pero el acceso a Amadeus y Galileo está registrado y queda anotado lo que ve y hace cada usuario, al igual que hay niveles de acceso y limitaciones de acceso por terminales y puestos.
Cualquier empleado del banco puede ver tus cuentas y realizar movimientos, cualquier empleado de visa puede ver todos tus datos y utilizar tu tarjeta... Y si seguimos así cualquier empleado del registro puede declararte muerto o un empleado de dónde se hacen los DNI hacerse un duplicado del tuyo con su foto.
#54 No, el vídeo en el que te enseñan cómo las webs de las compañías te sueltan todos los datos con solo meter lo que sale impreso en la pegatina, usando el PNR como contraseña.
En serio, si lo único que entendiste es que hace falta acceso interno a Amadeus o Galileo... mírate otra vez el vídeo, porque precisamente va de que no hace falta.
(...aunque si el problema es que no entiendes bien el inglés, pues no pasa nada. se dice y no se hable más, aprende inglés)
#56 El PNR no es una contraseña. Para acceder hacen falta una serie de datos. Dichos datos, insisto deben ser guardados en secreto como tu número de tarjeta y el pin. Si eres tonto y los tiras a la basura es problema tuyo.
Con esos datos nada más no puedes hacer nada en la web de la compañía, ni ver el número de tarjeta de crédito. Si el vuelo es el de vuelta no puedes cambiar el nombre del pasajero y para cambiar la fecha te tocará pagar.
Demuestra una completa ignorancia, incluyendo que cuando compras un billete en una aerolínea no lo hacer sólo con ella si forma parte de una alianza, lo haces con el grupo, aunque sea la aerolínea la que lo gestione. Por eso a veces vuelas con una compañía aunque lo hayas comprado con otra. ¿Te suena eso de los código de vuelos compartidos?
Ni siquiera sabe cómo se generan los PNR al hacer la reserva.
Y si lo haces con descuento de residente del 50% por simular ser de baleares, canarias ceuta o melilla double pleasure garanted .
Corred que con el incremento (ficticio) del precio de los carburantes hasta en la cutre ryanair os la van a meter hasta el codo.
Para reyes le regalé a mi novia entradas muy caras para un concierto. Las imprimí y las pegué en cartón pluma para que parecieran algo decente. Pero eso sí, primero les borré todos los códigos de barra, códigos QR y demás, por si subía alguna foto del regalo a una red social.
Si lo tiras a la basura será después de haberlo usado en el vuelo, digo yo.
#9 Si tiras a la papelera el billete del vuelo de ida, te pueden robar el de vuelo de vuelta. Lo explican en la noticia
#10 Según se explica en la noticia te pueden joder y dejar sin vuelo de vuelta.
Pero para "robar" hay que sacar un beneficio sin que te pillen.
En muchos sitios, puedes colarte y acceder hasta una caja llena de dinero, pero porque la seguridad no está en acceder hasta el dinero, sino de ser capaz de escapar con él. Si cuando consigues poner el dinero en tus manos te encuentras rodeado de seguridad, poco has conseguido robar.
Lo mismo en este caso, si te pones un vuelo de otro a tu nombre, cuando el otro va al aeropuerto y se encuentra con el percal, la compañía aérea no tiene más que ir a por la persona que pretende subirse en el avión habiendo robado a otra.
Esto no quita que el sistema de seguridad que denuncia el hacker sea de chiste. Pero el sensacionalismo que le da el redactor del artículo se pasa tres pueblos.
#10 Peor aún: si al llegar a destino tiras a la papelera la pegatina del equipaje, o alguien le saca una foto... también te pueden robar el vuelo de vuelta
#26 goto #30
#33 ¿Por qué? ¿Acaso tu tirarías tu pasaporte caducado a la basura? ¿O la tarjeta de crédito? ¿Dejarías que otras personas le hicieran una fotografía?
El PNR es el número de reserva por sí sólo, si no sabes más datos no puedes hacer nada, no hay ninguna información oculta en ese número.
#30 con el PNR sólo no haces nada, te comes los mocos, y si ya se ha usado el vuelo de ida no puedes cambiar el nombre en el vuelo de vuelta. Podrías intentar averiguar los datos del vuelo intentando hacer checkin en la web de la aerolínea probando todas las combinaciones posibles. Muy posiblemente te tocaría pagar para hacer un cambio en ese momento con lo que los datos utilizados para el pago quedarían registrados.
Lo de siempre, no revelar contraseñas públicamente. Anda que no habré visto esta advertencia un centenar de veces en mi vida.
Robar teniendo el código se puede hacer en gran cantidad de eventos que reúnen las siguientes condiciones:
- Entradas no nominales.
- Asientos no numerados.
- Gran cantidad de público.
La persona se cuela con la entrada del otro, no han comprobado su nombre real, y una vez entre miles de personas es imposible encontrarla.
Mostrar unas entradas de un concierto...
· Por WhatsApp en un grupo de amigos -> Vale, te puedes fiar de ellos.
· Por Facebook -> Estás jugando con fuego, a saber si tus cientos de amigos (y puede que sus amigos) son de fiar.
· Por una página de compraventa al publicar un anuncio -> Tu eres tonto chaval, ¿para qué te van a pagar por tu código si ya le has dado el código? Como encima haya otro tonto que lo compre, vaya discusión se pueden meter los dos pensando cada uno que le ha estafado el otro en lugar de un tercero.
Sin embargo en un vuelo esto no sucede, antes de despegar si le han robado a alguien, encontrar al ladrón es pan comido.
- Puede que ponga un nombre falso y no le controlen a la entrada.
- Puede que lo asientos no sean numerados.
- Pero van asiento por asiento pidiéndole el billete a cada pasajero y se llevan al ladrón antes de despegar.
Vamos a ver, un billete de avión se supone (viene en las condiciones) que debe mantenerse seguro y enseñarse sólo a los agentes del aeropuerto, si la gente es tonta pues no hay mucho que hacer. El día que pongan fotos de sus pasaportes junto a la tarjeta de crédito entonces se quejarán de que las medidas de seguridad no son suficientes que cambien las tarjetas y los pasaportes para ocultar esa información...
En los aeropuertos se debe comprobar (según la normativa actual, tanto en Europa y los EEUU, y según recomandaciones de la IATA) que el nombre del billete es el mismo que el de la persona que embarca y es el mismo que sale en el sistema al escanearlo, si las aerolíneas no cumplen y nadie reclama seguirán haciéndolo. Hasta que pase algo otra vez...
http://www.cbsnews.com/news/information-on-boarding-pass-barcodes-poses-personal-security-risk/
https://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/