Frontier Airlines: fallo de seguridad expone datos de todos los pasajeros

¿Qué ocurrió?

Un investigador de seguridad descubrió que el sitio web de Frontier Airlines (flyfrontier.com) exponía los datos personales de todos los pasajeros con solo ingresar el número de reserva (PNR) y el apellido. Según reportó Tom's Hardware el 26 de marzo de 2025, la información accesible incluía nombre completo, dirección, fecha de nacimiento, número de pasaporte, estado de TSA PreCheck, y los últimos cuatro dígitos de la tarjeta de crédito. El investigador demostró que era posible obtener el PNR simplemente mirando una tarjeta de embarque o a través de técnicas de fuerza bruta, ya que los códigos de reserva suelen tener una longitud de 6 caracteres alfanuméricos, lo que permite automatizar ataques de diccionario. Frontier Airlines confirmó el fallo y lo corrigió, pero no reveló si hubo accesos no autorizados antes del parche.

¿Por qué es importante?

Este incidente subraya la fragilidad de los sistemas de verificación basados en datos fácilmente obtenibles. El número de reserva y el apellido son datos semipúblicos: el PNR aparece en la tarjeta de embarque y puede ser fotografiado o visto por terceros. La combinación permitía a un atacante acceder a información sensible sin autenticación adicional. El fallo afecta a la privacidad de millones de pasajeros y podría derivar en robo de identidad, fraude financiero o ataques de phishing dirigidos. Históricamente, vulnerabilidades similares han afectado a otras aerolíneas. En 2018, British Airways sufrió una filtración de datos de 380,000 tarjetas de crédito debido a un script malicioso, y en 2020, una falla en el sistema de reservas de Air India expuso datos de 4.5 millones de pasajeros. Sin embargo, el caso de Frontier es especialmente crítico porque no requirió explotar una vulnerabilidad técnica compleja, sino simplemente usar datos que ya están en manos de terceros (como agentes de viajes o personal de aeropuerto).

Consecuencias para pasajeros y la industria

Para los pasajeros, el riesgo inmediato es que sus datos personales hayan sido extraídos y comercializados en foros clandestinos. Se recomienda monitorear estados de cuenta y reportar cualquier actividad sospechosa. Además, los datos expuestos como fecha de nacimiento y número de pasaporte pueden ser utilizados para suplantación de identidad o para solicitar créditos fraudulentos. Para la industria aérea, este caso es un recordatorio de que los sistemas heredados que confían en datos predecibles deben ser reemplazados por métodos de autenticación más robustos, como la verificación en dos pasos o el uso de tokens temporales. Frontier Airlines ya ha corregido la vulnerabilidad, pero no se ha informado si hubo accesos no autorizados antes del parche. El impacto en el mercado podría traducirse en una pérdida de confianza de los consumidores, lo que llevaría a una caída en las reservas y posibles demandas colectivas. En 2023, una filtración similar en Delta Air Lines resultó en una multa de 1.5 millones de dólares por parte de la FAA, y se espera que las autoridades estadounidenses investiguen este caso.

¿Qué deben saber los lectores?

• Si volaste con Frontier recientemente, tus datos personales podrían haber sido expuestos. Se recomienda verificar si hay actividad sospechosa en tus cuentas financieras y considerar un congelamiento de crédito.
• Cambia contraseñas de cuentas asociadas (como Frontier o aerolíneas asociadas) y activa alertas de fraude en tus tarjetas de crédito.
• Desconfía de correos o llamadas que soliciten información adicional, podrían ser phishing. Los atacantes podrían usar los datos filtrados para hacer más creíbles sus estafas.
• Exige a las aerolíneas que implementen autenticación multifactor para acceder a reservas. Algunas aerolíneas como United ya ofrecen verificación en dos pasos para cambios de reserva.

"Este incidente demuestra que la seguridad por oscuridad no funciona: confiar en que un número de reserva es secreto es un error." — Analista de TheVortiq

En conclusión, la vulnerabilidad de Frontier Airlines es un caso de estudio sobre cómo la comodidad del usuario a menudo choca con la seguridad. Mientras las aerolíneas buscan simplificar el acceso a las reservas, deben equilibrar esa facilidad con protecciones sólidas. Los pasajeros, por su parte, deben ser proactivos en la protección de sus datos, especialmente en un ecosistema donde los datos personales son cada vez más valiosos para los ciberdelincuentes.