Un conocido traficante de bases de datos bajo el alias Kingdom of Databases, identificado también como r57, filtró información confidencial de más de 22,000 personas que adquirieron boletos para conciertos y eventos en México, a través de la plataforma Ticket to Go.
Este mercado, operado por la empresa 4.40 Entretenimiento, ha vendido boletos para una serie de conciertos de reconocidos artistas como Reik, Morat, Ha*Ash, y Los Ángeles Azules, todos en Saltillo, Coahuila, y parece haber sido blanco del ciberatacante con fines de autopromoción.
Lo inusual en este caso es que el atacante decidió liberar la base de datos de forma gratuita, una estrategia aparentemente diseñada para atraer la atención hacia su canal en la comunidad clandestina en línea. Esta información confidencial fue publicada en un foro de ciberdelincuencia conocido por la compraventa de datos, accesible solo mediante créditos que los usuarios obtienen participando activamente en filtraciones similares.
Esto sugiere que hackers experimentados podrían descargar y utilizar estos datos de diversas maneras, desde actividades de suplantación de identidad hasta intentos de fraude.
Ticket to Go tiene fallas de seguridad en el resguardo de datos de clientes
La muestra que r57 compartió en el foro ofrece una visión detallada de las fallas en la seguridad de Ticket to Go. Entre los datos expuestos se encuentran:
- Nombres completos de los usuarios: Los registros incluyen nombres completos de los afectados, lo que facilita su identificación.
- Correos electrónicos y números de teléfono: Estos datos representan un riesgo potencial, ya que podrían utilizarse para contactar o suplantar a los usuarios, sobre todo al considerar la posibilidad de falsificar correos o realizar intentos de phishing.
- Contraseñas encriptadas: Aunque las contraseñas están protegidas mediante el algoritmo bcrypt, se encontró que todas usaban un nivel de seguridad estándar (cost 10). Esto podría vulnerarse mediante ataques de fuerza bruta con recursos avanzados.
- Tokens de sesión: La información incluye tokens JWT (JSON Web Token) de acceso, exponiendo las sesiones de usuarios activos. Aunque los tokens tienen fecha de caducidad, cualquier atacante que los obtenga antes de su expiración podría potencialmente suplantar las sesiones de los usuarios en la plataforma.
Riesgo de exposición masiva en Saltillo
Los eventos para los que se adquirieron boletos, desde presentaciones de Reik hasta shows de Banda MS y Emmanuel, se llevaron a cabo principalmente en Saltillo, lo que sugiere que la mayoría de los afectados residen en esta ciudad y sus alrededores.
El último evento vendido a través de la plataforma ocurrió el 7 de septiembre en el Auditorio Parque Las Maravillas, lo que indica que la base de datos podría estar actualizada hasta ese momento.
Implicaciones y riesgos tras la filtración
Este incidente pone en relieve los riesgos de ciberseguridad en plataformas de entretenimiento, especialmente aquellas que manejan información sensible de sus usuarios. Cabe recordar el incidente de ciberseguridad que sufrió Ticketmaster este mismo año con filtraciones masivas.
Sin una protección adecuada de los datos y con los riesgos que implica su distribución en foros clandestinos, los usuarios afectados podrían enfrentar intentos de fraude, robos de identidad, y en algunos casos, exposición de información personal.
La empresa 4.40 Entretenimiento, a cargo de la plataforma Ticket to Go, se dedica a la organización de eventos, tanto privados como masivos, y a la renta de equipo profesional de audio y mobiliario. Con sede en Saltillo, Coahuila, ha sido responsable de la promoción y producción de conciertos de reconocidos artistas como Ha*Ash, Los Ángeles Azules, Mijares, Banda MS, Fernando Delgadillo, Sebastián Yatra, Carlos Rivera, Morat, Reik, Mercurio y Emmanuel, entre otros; sin embargo, tras la filtración masiva tendría que notificar a sus clientes y fortalecer las medidas de seguridad.