TORONTO, 5 de mayo.- Una pareja de Ontario ha expuesto serias deficiencias en la seguridad digital de Air Canada, después de que su crédito de viaje fuera robado y utilizado para comprar un boleto en clase ejecutiva a Tokio para una persona desconocida. El caso ha generado preocupación entre los expertos en ciberseguridad, quienes advierten que otros clientes podrían ser blancos fáciles si no se abordan estas vulnerabilidades.
El Caso de los Barlow: Un Viaje Soñado Convertido en Pesadilla
Bill y Sandra Barlow, residentes de Milton, Ontario, pasaron más de un año ahorrando para el viaje de sus sueños a América del Sur y Central, celebrando el 75º cumpleaños de Bill. Usaron puntos de viaje y efectivo (unos $5,000) para reservar vuelos de regreso en clase ejecutiva. Sin embargo, dos días antes de su vuelo, descubrieron que alguien había cancelado misteriosamente sus boletos y utilizado su crédito de viaje para comprar un boleto de lujo para otra persona.
«¿Cómo es posible que algo así ocurra?», dijo Sandra al programa Go Public de CBC News. La frustración de la pareja aumentó cuando Air Canada los culpó por el incidente, alegando que su correo electrónico personal había sido pirateado y que no habían protegido su Air Canada Wallet, una función digital que ni siquiera sabían que existía.
La Respuesta de Air Canada: ¿Desviando la Culpa?
En un correo electrónico enviado a Go Public, Air Canada culpó a la pareja por la supuesta falta de seguridad en su cuenta de correo electrónico personal. Según la aerolínea, los piratas informáticos accedieron al correo de los Barlow, utilizaron la opción de «contraseña olvidada» para ingresar a su cuenta de Aeroplan y robaron su crédito de viaje, interceptando las notificaciones de la aerolínea dirigidas a ellos.
«Ninguna organización puede, ni se debe esperar razonablemente, que acepte la responsabilidad por la seguridad de las cuentas de correo electrónico personales de todos sus clientes,» escribió Air Canada, refiriéndose a sus términos y condiciones.
Sin embargo, esta explicación fue cuestionada por el experto en ciberseguridad Claudiu Popa, quien señaló la falta de pruebas de que el correo electrónico de los Barlow haya sido comprometido.
«No hay evidencia de que eso haya ocurrido. Además, el crédito finalmente fue robado del propio sistema de Air Canada», afirmó Popa. «Es preocupante que Air Canada afirme tener conocimiento de lo que ocurre en las cuentas de correo electrónico de sus clientes sin proporcionar pruebas.»
Popa también criticó la negativa de la aerolínea a revelar si han realizado pruebas de seguridad en su sistema o si han investigado posibles fallas internas.
Un Desconocido Beneficiario: Más Preguntas Que Respuestas
Go Public rastreó a la persona cuyo nombre apareció en el boleto comprado con el crédito robado. Se trata de una mujer de Las Vegas que confirmó haber tomado un vuelo de Air Canada a Tokio. Según ella, reservó el boleto a través de un agente de viajes local y pagó aproximadamente $5,000 con su tarjeta de crédito. Sin embargo, no proporcionó comprobante de pago ni detalles sobre el agente.
«En resumen, no me importa saber qué pasó. Pagué lo que tenía que pagar y ha pasado casi un año», escribió la mujer en un correo electrónico a Go Public.
Lo más sorprendente es que Air Canada nunca la contactó para investigar cómo su nombre terminó vinculado a un boleto comprado con crédito robado. Esto plantea serias dudas sobre la eficacia de la investigación interna de la aerolínea.
Frustración y Daños Colaterales
Tras la cancelación de sus vuelos, los Barlow quedaron varados en Centroamérica. Con solo dos días para encontrar una solución, tuvieron que comprar nuevos boletos de regreso en clase económica por $2,800, muy lejos de los asientos en clase ejecutiva que originalmente habían reservado por un valor cercano a los $9,000 si hubieran intentado reemplazarlos en el último minuto.
Además de los costos adicionales, la pareja expresó su decepción por la falta de apoyo de Air Canada.
«Es muy decepcionante. Tardaron dos meses en responder a nuestra queja, y cuando lo hicieron, no ofrecieron ninguna respuesta clara ni solución real», dijo Bill.
Lagunas en la Investigación y Políticas Cuestionables
Las preguntas clave que Air Canada se negó a responder incluyen:
- ¿Cuántos clientes han reportado fraudes relacionados con Air Canada Wallet?
- ¿Se ha probado el sistema para detectar fallas de seguridad?
- ¿Por qué no se implementan verificaciones de identidad más estrictas para restablecer contraseñas vinculadas a créditos almacenados?
- ¿Por qué permite que alertas críticas (como cancelaciones de boletos) dependan únicamente del correo electrónico, ignorando los riesgos asociados?
Popa señaló que estas lagunas ponen en peligro a los clientes de Air Canada.
«No confiaría en la seguridad de Air Canada Wallet. Hasta ahora, no hemos visto pruebas de que el sistema haya sido sometido a pruebas rigurosas de seguridad», declaró el experto.
Antecedentes de Inseguridad en Air Canada
Este no es el primer incidente de seguridad que afecta a Air Canada. En 2018, una violación en su aplicación expuso datos de 20,000 clientes, y en 2023, piratas informáticos accedieron a información confidencial de empleados. A pesar de estos antecedentes, la aerolínea insiste en que la situación de los Barlow no está relacionada con problemas de seguridad internos.
Conclusión: Una Llamada Urgente a Mejorar la Protección
El caso de los Barlow destaca importantes fallos en la seguridad y atención al cliente de Air Canada. Mientras la aerolínea culpa a sus usuarios por supuestas negligencias externas, los expertos advierten que el problema podría estar dentro del propio sistema de la compañía.
«Si esto puede pasarle a una pareja común, ¿cuántos otros clientes están en riesgo?», concluyó Popa.
Para evitar futuros incidentes, Air Canada deberá revisar sus políticas de seguridad, mejorar la transparencia en sus investigaciones y garantizar que los clientes reciban el apoyo necesario cuando enfrenten situaciones como esta. De lo contrario, la confianza en la aerolínea seguirá erosionándose, dejando a miles de pasajeros vulnerables ante posibles ataques cibernéticos.
