Síguenos en Google y entérate de las mejores noticias

Claude logró burlar la seguridad de la mayor ticketera de festivales de EE. UU. El truco fue tan avanzado que ni el propio hacker que lo usó entendía cómo funcionaba

Front Ticket

La IA diseñó una técnica de hackeo tan innovadora que no solo eludió el sistema que buscaba vulnerar sino, de hecho, también la comprensión de su usuario humano.

Wilson Vega

Editor Sr

Una nueva muestra del poder de los recursos de IA disponibles al público fue dada a conocer por un investigador de Estados Unidos. Armado con la versión 4.7 de Claude Opus, obtuvo acceso de superadministrador en Front Gate Tickets, la filial de Live Nation, con permisos aparentemente ilimitados para expedir entradas a virtualmente cualquier festival y cualquier concierto.

Según un reportaje de WIRED, Ian Carroll, un autodenominado “hacker ético , cazador de recompensas por errores de seguridad e investigador de seguridad” con sede en Las Vegas, detectó en abril, en el sitio de Front Gate Tickets -descrito a menudo como el Ticketmaster de los festivales de música en EE. UU., que gestiona la venta de entradas para prácticamente todos los grandes eventos, de Lollapalooza y South by Southwest a Austin City Limits y Bonnaroo-, lo que parecía una inyección SQL, un fallo común que permite introducir comandos en un campo de texto de una página web, haciendo que se ejecuten en el backend del sitio y, a veces, devuelvan datos almacenados allí. Todo lo que le impedía explotarlo era un cortafuegos de aplicaciones web.

Así que Carroll le pidió a Claude Opus 4.7 que lo ayudara a entrar al sistema. El que era en su momento el modelo de IA más avanzado que Anthropic había puesto a disposición del público -desde entonces superado por Mythos 5 y Fable 5- programó de manera autónoma una innovadora técnica de hackeo que no solo eludió el cortafuegos sino, de hecho, también la comprensión de su usuario humano.

El reportaje relata: “Claude descubrió, de hecho, que una "consulta SQL anidada"—una consulta SQL dentro de otra consulta SQL—podía evadir la detección del firewall. Pronto, la herramienta de IA escribió un script con muestras de una tabla de 500 bases de datos con información expuesta de clientes. En conjunto, Carroll cree que la vulnerabilidad que él y Claude encontraron habría dado acceso a la información de millones de clientes, incluyendo nombres, correos electrónicos y direcciones postales —si bien no detalles de tarjetas de crédito— así como al personal de Front Gate”.

El desarrollador le dijo a Wired que esta fue la primera vez en que se halló aprovechando una vulnerabilidad que no entendía del todo. “Tuve que volver atrás y leer lo que Claude había escrito para entender el bypass, porque yo no lo escribí. Claude lo hizo completamente solo”, le dijo a la revista.

“Superadministrador”

Una vez adentro, Carroll se halló con que, básicamente, podía hacer lo que quisiera. Buscó la cuenta de un superadministrador, pulsó la opción para restablecer la contraseña y luego buscó el código en el correo electrónico almacenado en el backend del sitio. Tras confirmar el cambio de contraseña, tomó el control total de la cuenta.

Tiquetes premium que se venden en cientos o miles de dólares estaban a su disposición, sin pagar un centavo y, en algunos casos, incluso en eventos que aparecían vendidos en su totalidad. Carroll tenía la opción de emitirlos a su nombre o a nombre de quien quisiera.

Eso sí, Carroll es enfático en aclarar que, aunque puso las entradas en su carrito de compra sin encontrar ninguna barrera, no llegó a emitirlas por miedo a ser acusado de fraude. En lugar de eso, tomó el teléfono y alertó a Front Gate de la vulnerabilidad, que fue resuelta menos de 24 horas después.

En declaraciones a DigitalMusicNews, el hacker de sombrero blanco dijo: “Fue bastante cool ver un tiquete de 4,000 dólares y saber que podía pulsar un botón y emitir tantos como quisiera. Podría ir a todos y cada uno de los eventos sin limitaciones ni restricciones: podría conseguir el pase de backstage o lo que sea que vendan a los super VIP, aunque estuvieran agotados.

Front Gate le dijo a Wired que nada indica que la vulnerabilidad haya sido explotada y que no se emitieron tickets fraudulentos ni se comprometió la información de los clientes. El propio Carroll forma parte del Programa de Verificación Cibernética de Anthropic, que otorga a investigadores de seguridad aprobados acceso autorizado para usar a Claude en trabajos “adversariales” como este.

Ver todos los comentarios en https://www.xataka.com.mx

VER 0 Comentario