La raíz del problema con respecto al concierto de Bad Bunny en México pudo ser consecuencia de la simplicidad del sistema con el que se emiten y verifican las localidades.
Detrás del error en la inteligencia artificial palpita la astucia humana para delinquir. Luego del escándalo suscitado en el primer concierto de Bad Bunny en México, en el que miles de personas que adquirieron boletos se quedaron fuera, se reveló la poca seguridad que implementan las boleteras electrónicas con respecto al elevado costo de sus productos.
Paradójicamente, cuando las localidades para los conciertos se adquirían después de formarse durante horas, y a veces días, en una taquilla, solían ser más seguras a diferencia de hoy, el que la espera se realiza en una “fila virtual”.
3 enseñanzas de Bad Bunny para hacer del marketing tu mejor amigo
Hablamos con Pablo Corona Fraga, Vicepresidente para ciberseguridad de la asociación mexicana de Internet y autor del libro “Guía práctica para la gestión de riesgos en la era de la ciberseguridad”, además de un consumidor asiduo de música.
En su opinión, la raíz del problema con respecto al concierto de Bad Bunny en México pudo ser consecuencia de la simplicidad del sistema con el que se emiten y verifican las localidades.
“Las famosas pistolitas son en realidad lectores de códigos de barras iguales a los que utilizamos en el súper para conocer los precios de los productos. Lo que tiene escrito ese código de barras es la codificación de un número. Esos números que tienen abajo de las barras es lo mismo que lee la pistola y lo hace a través de un algoritmo. Si tomas ese mismo número y lo metes a cualquier app pública de generación de código de barras; por ejemplo, el número de tu cereal, te arrojará el mismo código de barras que anuncia el producto. El algoritmo es público y cualquiera lo puede utilizar.
“Lo que la pistola lectora hace son dos cosas: primero convierte esas barras en un código numérico que puede ser interpretado por un sistema y está interconectado con un sistema central que le permite validar si el boleto es vigente y si la persona que lo porta ya entró, o no, por una u otra puerta del recinto. El sistema central te indica si el número tiene asignado un lugar, una sección o un asiento y también si el sistema centralizado detectó que anteriormente ese mismo código hubiera entrado al concierto, por lo que en este caso se le negaría el acceso”.
Hagamos un recuento. Todo comenzó el 9 de diciembre, cuando miles de personas se quedaron fuera del concierto de Bad Bunny en México. Esa misma noche, el Estadio Azteca giró un comunicado en el que aseguro que “se detectaron por parte de elementos de TicketMaster (sic) casos de duplicación y/o falsificación de boletos…(…)” y que “para garantizar la seguridad de todos los asistentes al concierto de Bad Bunny, se cancelaron dichos accesos (…)”.
#AvisoImportante con respecto al concierto de @sanbenito (#BadBunny) en el @EstadioAzteca. pic.twitter.com/VjIoxBDR4V
— Ticketmaster México (@Ticketmaster_Me) December 10, 2022
Cerca de la 1 de la madrugada del 10 de diciembre, Ticketmaster respondió vía Twitter, un con un comunicado en el que establecía que “los inconvenientes en los accesos fueron consecuencia de la presentación de un número sin precedente de boletos falsos, lo que provocó una aglomeración de personas fuera de lo normal y una operación intermitente de nuestro sistema”.
El lunes 12 de diciembre, durante la conferencia mañanera del Presidente Andrés Manuel López Obrador, el titular de la Profeco, Ricardo Sheffield, anunció que se realizaría una investigación en contra de la boletera, que al parecer había existido una clonación de boletos al interior de la empresa, de acuerdo con lo expuesto en una entrevista de radio, y que invitaba a Ticketmaster a reembolsar a los afectados el valor de sus localidades, más un 20% de indemnización, o de lo contrario se haría acreedora a una multa del 10% de las utilidades obtenidas durante un año.
Luego de que a su vez Ticketmaster revelara que colaboraba con la Profeco en la investigación y que más de 400 personas se sumaran a la acción colectiva en su contra durante las primeras horas del caso, el lunes 19 de diciembre Ricardo Sheffield confirmó que la conclusión de la investigación es que la empresa no clonó ni sobrevendió entradas y que todo se debió a un “problema de intermitencia” en la señal de las pistolas lectoras.
Atender las quejas de consumidores: reto de retailers en la era post-COVID
Pablo Corona tiene otra teoría. Desde su punto de vista, derivado del proceso de emisión de los boletos.
El experto en ciberseguridad explica que cuando se adquiere una localidad, lo que sucede de inmediato es que el sistema confirma el pago y la asignación de un lugar.
Sin embargo, la emisión de los boletos no se realiza de inmediato, sino hasta que la persona acude a uno de los módulos de atención de la boletera para que se lo entreguen físicamente o, en su defecto, cuando llega el correo de confirmación para que sea el comprador quien lo imprima.
“Si puedes obtener los datos del código de barras de un boleto junto con la sección y el asiento que le corresponde, con eso podrías imprimir tu propio boleto y entonces la validación sólo radicaría en que el que llegue primero al concierto, entra. Se parece mucho a cuando clonan una tarjeta de crédito, con que se copien sus 16 dígitos, la fecha de vencimiento, el código de verificación y el nombre del propietario, es suficiente para hacer compras en línea”.
Y detalla: “Alguien pudo tener acceso a esos números de los boletos y existen tres momentos clave. Primero, cuando te lo entregan en el centro de atención. Alguien pudo grabar o tomarle fotos al código de barras, que con la resolución de las cámaras de hoy en día no es nada complicado; y otra es que existieran series de boleto que permitieran adivinar los siguientes. Si hay un boleto, por ejemplo, ‘15482’ asignado al asiento 53, posiblemente el ‘15483’ esté asignado al 54. Las boleteras no los asignan de manera secuencial, pero entonces los piratas aplican lo que se llama ‘un ataque de fuerza bruta´‘ que es fabricar una cantidad enorme de boletos y eventualmente alguno pegará, porque el número de boletos lícitos tampoco es infinito.
“Una cuarta posibilidad es que hubo mucha gente que tomó fotos de sus boletos y las subió a redes sociales y de ahí se pudieron tomar los datos”.
Respecto a la versión oficial del problema de intermitencia en las pistolas de lectura, el experto en ciberseguridad considera que los errores que pudieron cometerse son tres.
“El lector funciona de una manera muy sencilla, aunque podría no conectarse en el sistema central por temas de saturación, de que la red falló o que existió una interferencia o una situación en la que la pistola no se logró comunicar con el sistema central. Los dispositivos funcionan con una conexión de tres lados.
Primero se saludan ambos dispositivos y antes de validar si una tiene un boleto válido o no, primero valida que es un boleto registrado por un sistema central y que el sistema central tiene un certificado de seguridad para validar que no se trata de otro sistema y entonces sí, realiza la validación del boleto. Es un sistema binario: te dice si es válido o no es válido, pero no más”.
Corona Fraga explica: “Pudiera ser que Ticketmaster se dio cuenta que había series completas de boletos vendidas en el mercado negro y lo que hizo fue invalidarlas. De tal manera que sabían que había bloques enteros de boletos clonados invalidaron toda la series y por eso se le impidió la entrada tanto a los dueños de los boletos legítimos como a los clonados”.
También cree que la “falla en las pistolas” fue una forma simplificadora de comunicar un proceso mucho más complejo, que no habita dentro de la pistola lectora, sino de un sistema centralizado.
Clonación de boletos, evita quedarte fuera del concierto de tu vida
Finalmente, el experto en ciberseguridad considera que una forma de evitar que el escándalo de Bad Bunny se repita en los conciertos que se acercan en 2023, sería, primero, retrasar lo más posible la liberación de los boletos que se compran y por otro lado, vincular la compra con el titular de la misma.
Esto se complica muchísimo en países como México, en los que una persona con tarjeta de crédito, adquiere boletos para varios amigos, aunque también existen alternativas.
“En otros lugares, Ticketmaster no libera los boletos hasta unas horas antes del evento, incluso hasta una hora antes. Así no elimina el riesgo de clonación, pero sí lo limita. Otro tema sería validar la titularidad del boleto, asociarlo con algo que pueda validar la identidad de la persona, como una identificación o un dispositivo portátil.
“A mí me pasó que mi boleto para un concierto en otro país me llegó a mi dispositivo junto con un mensaje que decía: ‘si pierdes o te roban este dispositivo, no podrás entrar, pues está ligado a él’. No lo podía ni enviar por correo, porque estaba ligado a una app, como el Token que usan los bancos y que para mudarlo de celular tienes que ir a la sucursal a realizar todo un procedimiento”.
Daddy Yankee, la historia del empresario de la moda y… ¿del tequila?
1.- De las tres formas de impresión (cartón, auto impresión o boleto digital almacenado en el celular), irónicamente el más seguro es el más rudimentario, el de cartón. En la medida de lo posible, elegir este.
2.- Lo preferible es no compartir fotografías de los boletos, pero en caso de hacerlo, tapar no sólo el código de barras, sino toda la información sobre ubicación, asiento, sección y hasta precio.
Facebook: Arturo J. Flores
Twitter: ArturoElEditor
Instagram: arturoeleditor
TikTok: arturoeleditor