En un mundo cada vez más digital, la seguridad de la información se ha convertido en una preocupación primordial.
Recientemente, se descubrió que una plataforma utilizada por numerosos programas de recompensas de viajes, incluyendo Delta SkyMiles, United MileagePlus, Hilton Honors y Marriott Bonvoy, presentaba vulnerabilidades que podrían haber permitido a los hackers acumular millas aéreas ilimitadas.
Esta plataforma, desarrollada por la empresa de comercio de lealtad Points, ofrece una serie de servicios, incluyendo una amplia interfaz de programación de aplicaciones (API).
Un grupo de investigadores de seguridad, compuesto por Ian Carroll, Shubham Shah y Sam Curry, publicó sus hallazgos sobre las vulnerabilidades en la API de Points.com.
Según su informe, estas debilidades podrían haber sido explotadas para exponer datos de los clientes, robar su «moneda de lealtad» (como las millas) o incluso comprometer las cuentas de administración global de Points para tomar el control de programas de lealtad enteros.
Los investigadores informaron una serie de vulnerabilidades a Points entre marzo y mayo, y desde entonces todas las fallas han sido corregidas.
Shah expresó su sorpresa al descubrir que existe una entidad central para los sistemas de lealtad y puntos que utilizan casi todas las grandes marcas del mundo.
«Desde este punto, estaba claro para mí que encontrar fallas en este sistema tendría un efecto en cascada en cada empresa que utiliza su backend de lealtad», dijo.
Shah cree que si otros hackers hubieran comprendido que atacar a Points les permitiría potencialmente tener puntos ilimitados en los sistemas de lealtad, también habrían tenido éxito al apuntar a Points.com eventualmente.
Uno de los errores descubiertos permitía a los investigadores moverse de una parte de la infraestructura de la API de Points a otra interna y luego consultarla para obtener pedidos de clientes del programa de recompensas.
El sistema incluía 22 millones de registros de pedidos, que contienen datos como números de cuenta de recompensas de clientes, direcciones, números de teléfono, direcciones de correo electrónico y números parciales de tarjetas de crédito.
Aunque Points.com tenía límites en cuántas respuestas podía devolver el sistema a la vez, los investigadores señalaron que habría sido posible buscar a individuos específicos de interés o extraer lentamente datos del sistema con el tiempo.
Otro error encontrado fue un problema de configuración de la API que podría haber permitido a un atacante generar un token de autorización de cuenta para cualquier usuario con solo su apellido y número de recompensas.
Con este token, los atacantes podrían haberse apoderado de las cuentas de los clientes y transferir millas u otros puntos de recompensas a sí mismos, vaciando las cuentas de las víctimas.
Lo más significativo es que los investigadores encontraron una vulnerabilidad en el sitio web de administración global de Points.com en la que una cookie cifrada asignada a cada usuario había sido cifrada con un secreto fácilmente adivinable: la palabra «secret» en sí.
Al adivinar esto, los investigadores podrían descifrar su cookie, reasignarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, esencialmente, asumir capacidades similares a las de un dios para acceder a cualquier sistema de recompensas de Points e incluso otorgar cuentas con millas ilimitadas u otros beneficios.
Aunque estas vulnerabilidades han sido corregidas, este caso subraya la importancia de la seguridad en la era digital, especialmente cuando se trata de plataformas que manejan datos sensibles y valiosos.