Al parecer, la información de los pasajeros no estaba encriptada.
Dicen que la necesidad agudiza el ingenio, a lo que podemos añadir que si además eres ingeniero informático, probablemente te facilitará el acceso a muchos más recursos que la gran mayoría de mortales.
Este es precisamente el caso de Nandan Kumar, de 28 años de edad, que el pasado 27 de Marzo volaba entre las ciudades indias de Patna y Bangalore, a bordo de un aparato de la lowcost IndiGo.
La mala suerte y un increíble parecido entre su maleta y la de otro pasajero, hicieron que finalmente Nandan recogiese el equipaje equivocado a su llegada al aeropuerto de Bangalore, algo de lo que no se percató hasta que abrió la misma varias horas después.
En una ubicación distinta de la misma ciudad, otro pasajero que viajaba en el avión se llevaba una sorpresa idéntica en el momento que sacaba sus pertenencias de la maleta.
Nandan contactó de inmediato con IndiGo para intentar localizar al segundo perjudicado y proceder al intercambio de equipajes, pero desde la aerolínea se le indicó que no era posible facilitar datos personales de sus pasajeros, los cuales están protegidos por ley.
IndiGo es la compañías aérea de bajo coste más importantes de la India y cuenta actualmente con una flota compuesta por 253 aeronaves, en las que transporta anualmente a más de 75 millones de pasajeros, controlando el 54% del mercado doméstico de este país asiático.
De acuerdo con las declaraciones realizadas por un representante de la aerolínea a la BBC, desde su departamento de atención al cliente se realizaron varios intentos para contactar con el segundo pasajero, pero ninguna de sus llamadas fue atendida.
Por su parte, Nandan asegura que quedó a la espera de recibir una solución tras hablar con IndiGo, los cuales y según su versión de los hechos no volvieron a llamarle.
Transcurridas 24 horas sin recibir noticias, el joven ingeniero informático que ya conocía el nombre del propietario de la maleta que había recogido por error, gracias a una etiqueta que colgaba en su parte superior, decidió pasar a la acción.
Después de acceder a internet haciendo uso de su conexión particular, comenzó a realizar gestiones a través de la página web de IndiGo utilizando los datos de los que disponía, sin llegar a localizar un teléfono o dirección de correo electrónico del pasajero con el que necesitaba establecer contacto.
Tal y como ha relatado a múltiples medios de comunicación internacionales que se han hecho eco de esta noticia, haciendo uso exclusivamente del inspector de código que facilita Google, Nandan pudo acceder a la información recogida en el PNR de la reserva del segundo afectado, en el que se indicaba tanto su teléfono de contacto como la dirección de correo electrónico que utilizó cuando compró su billete.
El PNR (Passenger Name Record) es un bloque de información que figura en el historial de cada reserva, en el que se recogen además de todos los eventos relacionados con la misma, los datos personales de cada pasajero.
Nandan ha confirmado que toda esta información no estaba encriptada, razón por la cual no tuvo necesidad de utilizar ningún tipo de software malicioso para poder acceder a ella.
En un comunicado oficial, IndiGo ha querido recalcar que su sistema informático es «robusto» y en ningún momento se puso en cuestión la privacidad de sus clientes.
En cualquier caso, lo cierto es que Nandan si pudo contactar con la persona con la que había intercambiado el equipaje, toda una aventura que además relató de manera minuciosa a través de las redes sociales.
Hey @IndiGo6E ,
Want to hear a story? And at the end of it I will tell you hole (technical vulnerability )in your system? #dev #bug #bugbounty 😝😝 1/n— Nandan kumar (@_sirius93_) March 28, 2022
La enorme atención mediática que ha recibido este asunto, ha puesto la lupa una vez más sobre los sistemas de seguridad que utilizan las aerolíneas para proteger los datos de sus clientes.
Por muchos conocimientos informáticos que se puedan tener, que un pasajero pueda obtener datos privados y personales de otro a través de la propia web y sin hacer uso (supuestamente) de aplicaciones ilegales, es realmente preocupante.
Finalmente, Nandan asegura que el otro afectado por esta incidencia le agradeció enormemente todas las gestiones realizadas para establecer contacto, confirmando además que en ningún momento llegó a recibir llamadas telefónicas por parte de IndiGo.
Sin duda, una anécdota que daña doblemente la reputación de la lowcost india, sobre la que en estos momentos pesa la sombra de un buen número de dudas e incógnitas.