¡Niños y niñas! No hagáis fotos de vuestras tarjetas de embarque para enseñarlas por ahí, y menos las compartáis en Instagram, Facebook, Twitter, que nunca se sabe lo que puede acabar pasando. Y es que con la información visible se puede llegar a conocer a veces el número de pasaporte de una persona, entrar en sitios web suplantándola, averiguar más datos personales… y liarla parda. Por aquí Wicho ya avisó hace algunos años al respecto.

Esto es lo que cuenta un hacker llamado Alex con un gran sentido del humor en When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number («Cuando estás mirando Instagram y te encuentras con el número de pasaporte del Primer Ministro australiano Tony Abbot»).

La historia es tan larga que merece la pena leerla completa, pero un resumen más o menos rápido sería este:

Allá por marzo, a Alex –el hacker protagonista de la historia– una de sus amistades le envía una foto que ha visto pasar por Instagram (y que al poco tiempo se borró): es una tarjeta de embarque a nombre de Tony Abbot, que fuera Primer Ministro de Australia entre 2013 y 2015. Se ve que volvía de un viaje a Japón y por lo que sea la foto acabó en Instagram. Mucha gente las publica, por postureo o de forma inadvertida; de hecho buscando por #boardingpass es fácil encontrar miles de ellas. «¿Puedes hackear a este tío?», le pregunta.

Alex investiga un poco y descubre que si se tiene la información de la tarjeta de embarque se pueden «averiguar cosas» sobre el titular. Lo más relevante está en el código de barras y al mismo tiempo en un apartado llamado booking reference, que es lo mismo pero con números legibles. Con ese número va a la web de Quantas, que le pide para entrar en las reservas esa referencia y el apellido del titular.

Con eso ya estás dentro, que dicen los hackers.

En esas páginas no suele haber mucha información: nombre, apellido, ruta, número de viajero frecuente, etcétera. Pero se le ocurre mirar en el código fuente de la página donde, voilà, aparecen el número de pasaporte, fecha de nacimiento, país de nacimiento y tropecientas cosas más. ¡WTF de fallo de seguridad!

Entre otras cosas también aparecen su número de teléfono y todos los códigos SSR (Special Service Request) asociados al billete: cosas como si prefieres ventanilla o pasillo, comida vegetariana o si llevas un animal de apoyo emocional en cabina (una mascota, vamos). [Del tema «animales de apoyo emocionales» en los aviones podemos hablar otro día, por cierto].

Llegados a este punto Alex decide que teniendo el teléfono móvil personal del ex-primer ministro de Australia se puede meter en un buen lío y comienza un largo periplo para avisar del problema/agujero. Primero lo intenta en la aerolínea, pero la web de Quantas funciona tan bien como la web de Renfe por lo que se ve. Luego pregunta a un abogado por si las moscas, mira si puede avisar al Gobierno o a algún otro sitio. Todo es un poco lioso. Finalmente decide enviar un correo a la agencia de seguridad australiana, que le contesta pidiéndole más información.

{Ojo, spoilers a partir de aquí}

.
.
.

La historia tiene final feliz: El agujero de seguridad se resuelve. Quantas lo achaca al vetusto de sistema Amadeus de las aerolíneas, pero no da más información. Alex consigue localizar a una persona que es el asistente del asistente de Tony Abott. Finalmente el propio Abott, interesado en el tema, acaba hablando por teléfono con Alex para ver qué sucedió e interesarse al respecto [lo cual equivaldría a que aquí en España Aznar llamar a alguien para interesarse por su hackeo]. Alex incluso le habla de transcribir la historia, que es lo que hace (es el artículo enlazado al principio de esa anotación) y además con gran sentido del humor. De hecho en su página hay un diploma honorífico “Por sus logros en el Reto «Que no te arresten» 2020”… porque en algunos momentos se temió lo peor.

Moraleja: aunque no se acaba el mundo por que publiques una foto de tu tarjeta de embarque, igual prefieres no hacerlo por la cantidad de información que alguien con ingenio y habilidad puede llegar a extraer de ella. Y si se combina con otros datos personales, entonces sí que se puede liar una buena.

Relacionado:

• Mucho ojito con esas fotos de tarjetas de embarque que publicas en línea

El mayor problema de este mundo es que tenemos emociones del Paleolítico, instituciones medievales y tecnología propia de los dioses.

– Edward O. Wilson, entomólogo y biólogo
vía Julián Estevez en
La inteligencia artificial y su fracaso frente al coronavirus

Encontré este curioso vídeo de DigiDigger acerca de cómo funcionan los juegos no-euclidianos, donde se mencionan varios de los más conocidos y que alguna vez hemos comentado por aquí, como Superliminal, Antichamber o incluso el megaclásico Portal. En todos ellos la geometría «se vuelve loca» aunque, matemáticamente, no tanto.

La regla básica para crear estos juegos es romper alguna de las tres reglas de los postulados de Euclides que definen la geometría clásica que estudiamos en el colegio de pequeños. Como estos postulados se definen para una superficie plana, si se utiliza un espacio 3D de tipo esférico o hiperbólico comienzan a suceder cosas raras. Además de eso muchos utilizan «trucos» como cambiar el punto de vista, teletransportar a los personajes, desviar los rayos de luz o utilizar objetos que cambian de tamaño (la clásica «perspectiva forzada»).

El resumen es entretenido y permite repasar un poco cómo son la geometría euclidiana y las no-euclidianas, además de servir para algún juego de este tipo –normalmente de puzles lógicos y con escenarios hipnóticos– a cual más enigmático y encantador. A continuación algunos enlaces relacionados:

• Un motor de gráficos para crear mundos no euclidianos
• Euclides, el juego: una forma lúdica de repasar (o aprender) geometría
• Superliminal: un juego sobre la percepción de la perspectiva
• Monument Valley: Escher hecho juego
• Fragments of Euclid, un juego en los dominios de M.C. Escher
• Echochrome para PSP

Una breve nota de prensa en la web de la Agencia Europea de Seguridad Aérea (EASA por sus siglas en inglés) informa de que ha completado sus vuelos de prueba de cara a la vuelta al servicio del Boeing 737 MAX: EASA completes its Boeing 737 MAX test flights.

Esos vuelos tuvieron lugar en la semana del 8 de septiembre de 2020 y partieron del aeropuerto de Vancouver en Canadá debido a las restricciones de viaje que están en vigor a causa de la pandemia de COVID–19. Las pruebas de la EASA, que han incluido sesiones de simulador además de vuelos reales, se unen a las de Transport Canada y las de la Administración Federal de Aviación de los Estados Unidos (FAA).

La EASA presentará los datos y otra información reunida durante los vuelos en la reunión de la Junta Conjunta de Evaluación de Operaciones (JOEB) que está teniendo lugar esta semana en Gatwick, en el Reino Unido. Durante esta reunión se analizarán a fondo los cambios propuestos por Boeing en el entrenamiento de las tripulaciones del 737 MAX para cubrir los cambios en el funcionamiento del avión tras los accidentes de los vuelos Lion Air 610 y Ethiopian Airlines 302 que acabaron con la prohibición de que el modelo volara en ningún lugar del mundo.

Los resultados de esta reunión serán compartidos con la FAA, que los usará como guía en la aprobación de los programas de formación de tripulaciones del modelo así como en los programas de comprobación de competencia de las tripulaciones.

Será entonces cuando Steve Dickson, el director de la FAA, que antes de ocupar el puesto pilotaba Boeing 737 para Delta, complete la formación sugerida y lleve a cabo un vuelo para evaluar su resultado. Dickson aportará sus impresiones a la FAA, que las usará para ayudar a decidir si todo está bien en lo que se refiere a la formación de las tripulaciones del «nuevo» 737 MAX.

La FAA está también pendiente de que termine el plazo de alegaciones a su plan para la vuelta al servicio del MAX. Ese plazo termina el 21 de septiembre.

Si todo va bien la idea es que con la información obtenida de la JOEB acerca de la formación, las aportaciones públicas al plan de vuelta al servicio del MAX, y las aportaciones que haga una junta independiente que incluye personas expertas de distintas agencias y organismos la FAA pueda publicar finalmente una directiva de aeronavegabilidad que exponga todo lo que es necesario para que el MAX vuelva al servicio. Esa directiva informará a los operadores del avión de las medidas correctivas necesarias antes de que las aeronaves puedan volver a entrar en servicio comercial.

Con la directiva publicada la FAA podrá entonces retirar la orden que impide volar al Boeing 737 MAX, siempre a expensas de que las aerolíneas cumplan con lo especificado en la directiva.

No hay plazos firmes para esto pero quizás podemos estar hablando de entre 30 y 60 días para el primer vuelo comercial de un MAX una vez publicada la directiva.

Esto es en los Estados Unidos, claro. Queda por ver cómo y cuando el resto de las autoridades del mundo autorizan la vuelta al servicio del MAX.

Relacionado,

• Boeing empieza a dejar de lado el nombre 737 MAX
• Boeing retoma la producción del 737 MAX
• Las seis primeras prioridades de David Calhoun, el nuevo presidente y CEO de Boeing
• Boeing 737 MAX: «este avión lo diseñan payasos que a su vez son supervisados por monos»
• Encuentran herramientas y trapos olvidados en los depósitos de combustible de algunos Boeing 737 MAX recién salidos de fábrica
• Qué tendrán que hacer Boeing y las aerolíneas para devolver el 737 MAX al servicio cuando les autoricen
• Boeing reconoce ahora que las tripulaciones del 737 MAX necesitarán formación en simulador antes de poder volar