Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

No voy en tren…voy en Avión.

Como lo prometí en twitter, vamos por una nueva historia pero esta vez relacionada con pasajes en avión…

Tanto mi trabajo actual como los anteriores, me han permitido viajar mucho por el país y por Latinoamérica en general.   

Normalmente, dependiendo del aeropuerto, los controles de seguridad a la hora de abordar el avión son más o menos exigentes, pero siempre se ven un mínimo de controles por los que debemos pasar, como por ejemplo aquellos relacionados con la identificación del pasajero y con el equipaje de mano (no sea cosa que secuestremos el avión).

En una época de viajes de cabotaje continuos, me sorprendió más de una vez que al ir a AEP y registrarme, me daban tanto el pasaje de Ida como de Vuelta (actualmente sigue ocurriendo). Sin embargo, la primera vez que lo recibí lo tomé como algo natural ya que supuse que igualmente al presentarme al aeropuerto para mi regreso, me solicitarían mi DNI para identificarme. Para mi sorpresa, nunca me lo pidieron, y recuerdo que ese día directamente ingrese hasta la puerta de salida del avión.

Prestando atención a cada detalle del proceso, y esperando tanto que al momento de entregar el pasaje lo pasen por un scanner de código de barras para verificar si era o no el pasaje correcto, como que me soliciten el DNI para verificar si era el pasajero correcto, me lleve una segunda sorpresa: No lo hicieron, solo recortaron el boarding pass, lo apilaron y me dieron el talón.

Recuerdo que ese viaje de regreso a casa no pude dormir pensando en lo que había vivido, algo en el proceso estaba fallando definitivamente…pero será tan así?

1) podré realmente viajar gratis?

2) es posible que el viaje de Ida lo haga una persona y el de regreso una distinta?

Fue así como todo empezó. Viendo que vuelo tras vuelo al interior con la misma aerolínea (la cual, por cierto, en dicho momento sufría muchos conflictos internos), decidí probarlo por mi mismo con el webcheck-in.

Lo primero que hice fue armar el modelo del boarding pass que se imprime al realizar el webcheck-in, y tenerlo preparado en mi pc como para adaptarlo según mis necesidades.

Lo segundo, compré un pasaje tal como lo hago normalmente (sí, compré, solo quiero probar el proceso no cometer una estafa). Luego me dirigí como era habitual a realizar el check-in en el aeropuerto, y como venía ocurriendo anteriormente, me dieron en mano el boarding pass de Ida y de Vuelta (claro está que para mi prueba el de regreso no pensaba utilizarlo), luego de eso viajé a mi destino.

El día de mi regreso, unas horas antes del vuelo llamé por teléfono a la aerolínea para asegurarme si realmente salía mi avión, y de paso para comenzar con mi prueba.     En el llamado consulté si había disponibilidad en el vuelo que saldría en horas para 5 pasajeros con destino a Bs As., y afortunadamente para mi, la respuesta fue afirmativa.

Porqué consulté por 5 pasajes? porque suponiendo que lograse pasar el control del aeropuerto y subir al avión, mi prueba se vendría abajo si no tengo lugar donde sentarme… sería obvio que algo raro estaría ocurriendo, así que para evitar inconvenientes, pregunté a ultima hora por varios asientos ya que la probabilidad de que todos se ocupen sobre el final es realmente baja en condiciones normales (una condición anormal sería por ejemplo cuando estamos tratando de encontrar pasajes luego de días suspendidos los vuelos por cenizas, paros, etc..).

Con el dato de la disponibilidad, modifiqué mi formulario de webcheck-in completando los datos del vuelo y número de asiento. Pero qué número de asiento usar? Cualquiera, ese dato seguro nunca se comprueba al subir al avión de lo contrario nunca tendríamos problemas con los vuelos sobre-vendidos y los asientos que se disputan por la duplicidad de las ventas… Para nosotros sólo es necesario buscar el modelo del avión en Internet y así saber la distribución de los asientos y evitando poner un número de fila o letra que no existan.

Luego de imprimir el formulario (y con el boarding pass original en mi bolsillo por las dudas), me presenté al aeropuerto y pasé el control inicial hacia la puerta de abordaje sólo mostrando el papel impreso (como ya mencioné, no verifican identidad en ese punto).    Aguardé en la sala de espera hasta el llamado de abordar de mi vuelo (retrasado como de costumbre en esa época) y con mucho cuidado me posicioné de manera de poder ver la maniobra de quién pedía los boarding pass.

Como nada había cambiado con respecto a mis observaciones anteriores, esperé a que la mayoría de la gente ingrese, cuando sólo quedaban unos pocos en la sala, pasé entregando el formulario impreso… para mi suerte, no se verificó.    

Ya estaba adentro, sin dejar que los nervios me traicionen continué con mi plan, esperé en la manga a que quienes habían ingresado detrás de mi se adelantaran de manera tal que al entrar al avión sea de los últimos y pueda visualizar fácilmente que asientos estaban libres para poder ocuparlo (aunque como también tenia mi pasaje me podía sentar en ese asiento, pero la prueba no sería real).

Lo que pasó luego es muy sencillo, es igual a cualquier viaje, el avión despegó y aterrizó en destino, me bajé y como no despaché equipaje salí del aeropuerto muy tranquilo.

A los días me comuniqué con la aerolínea, les comenté del tema y ellos me aseguraron que era imposible, que existe un control extra luego de que todos los pasajeros suben al avión, donde se verifica que todos los pasajeros estén arriba.     Luego de varias, varias conversaciones, y entendiendo que no estaba buscando ninguna “recompensa” por el hecho, que sólo quería informarlo para ser corregido, buscaron los registros y compararon con mi copia del formulario impreso para verificar que realmente había viajado sin el boarding pass que me había sido entregado en el aeropuerto donde se inició mi viaje…

La investigación fue profundizada por el equipo de seguridad interna y por auditoría de la empresa para ver por que había fallado el proceso, y el resultado fue que muchos de los responsables del último control descripto, ante el apuro de los vuelos atrasados, el nerviosismo de la gente, el malestar por los conflictos de la empresa, etc. etc. sólo verificaban que concuerden la cantidad de boarding pass con la cantidad de personas que abordaron el avión, y no si los boarding pass eran los verdaderos. Y lamentablemente esta situación se había convertido en una práctica bastante habitual.

Por esto fue posible realizar mi viaje con un falso webcheck-in.     Según tengo entendido y por lo que pude ver en mis viajes posteriores, esto en dicha aerolínea se ha corregido, se que han trabajado mucho en el tema pero sobre todo en un proyecto de responsabilidad y concienciación…   Así que si están pensando en probarlo, no se los recomiendo!

Reflexión: Igualmente, si bien mis dos preguntas originales tenían una respuesta afirmativa, la primera de ellas ya estaría corregida, siendo que comprueban el boarding pass, esta claro que no podría haber una persona extra en el avión ni una persona menos, porque estaría directamente asociado a un nombre y apellido gracias a la verificación del código de barras. Sin embargo, al momento sigo observando que no se solicita al regresar, la identificación del pasajero en ningún momento (mi segunda pregunta).   Es decir, que aún hoy podría viajar en avión a un lugar X dentro del país y con mi pasaje podría volver otra persona diferente, pero lo que más me preocupa de esto es que para la justicia sería yo quien regresó…raro no?

Conclusión:   Podemos poner controles tecnológicos en cada puerta de entrada y verificar su seguridad una y otra vez, pero cuando el proceso depende de las personas seguro tenemos un punto de falla.     La Ingeniería Social se basa en la observación, en la búsqueda, en el análisis de como se comportan y trabajan las personas; con que se distraen, con que pueden caer en la trampa, pero sobre todo muchas veces es cuestión de buscar oportunidades…

Prestar atención a los detalles y aprovechar las oportunidades.

Anuncios

4 comentarios to “No voy en tren…voy en Avión.”

  1. Muy bueno el post, leyendolo se me ocurrio como entrar gratis al Cine

  2. Excelente anecdota!

    Abrazo

  3. yo hice lo mismo pero en los trenes


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: