Falla crítica en sistema de Satena expone datos de vuelos, tripulaciones y empleados
Una vulnerabilidad de inyección SQL, reportada por un analista e ignorada, permitió acceso a información sensible de la operación de la aerolínea estatal.
Un analista de seguridad descubrió una puerta trasera en uno de los sistemas digitales de Satena, la aerolínea estatal que conecta las regiones más apartadas de Colombia.
La falla permite el acceso no autorizado a una plataforma interna, al parecer utilizada para la planificación y control de operaciones aéreas. MuchoHacker.lol pudo verificar que el método de acceso a la plataforma funciona y la vulnerabilidad puede ser explotada por cualquier persona con conocimiento técnico.
El método utilizado es una de las vulnerabilidades más conocidas y peligrosas en el mundo del software: la inyección SQL.
En términos sencillos, es como si el formulario de acceso de un edificio, en lugar de pedir una llave, aceptara una orden directa para entregar la llave maestra.
Al ingresar un simple comando de código en los campos de usuario y contraseña, el sistema otorgaba acceso total a su base de datos. Este código permite el acceso a la plataforma, según pudo comprobar este portal.
“La plataforma es vulnerable a SQL injection”, explicó el analista en una conversación a la que muchohacker.lol tuvo acceso.
Según las evidencias compartidas, el acceso permitía visualizar información extremadamente sensible.
Se exponen listas de matrículas de aeronaves, como los modelos Y-12, ERJ-145 y ATR-42, con sus registros específicos.
También quedaba al descubierto información operacional detallada de vuelos, incluyendo número de vuelo, origen, destino, fechas y justificaciones técnicas de demoras o cancelaciones.
Una de las capturas muestra el reporte del vuelo 8890 entre Cali y Guapi, detallando la hora de cierre de puertas y el motivo de su cancelación.
Quizás lo más preocupante es la exposición de datos personales de los empleados de la aerolínea. Una muestra anonimizada de los datos que se pueden extraer.
| Nombre Anonimizado | Sede/Email (Parcial) | Rol Sugerido |
|---|---|---|
| HÉCTOR F. M. | BUENAVENTURA@(…) | Personal de Sede |
| YESSICA P. V. | DESPACHOAPO@(…) | Personal de Despacho |
| CARLOS E. C. | CALI@(…) | Personal de Sede |
| MARYLIN O. G. | AEROPUERTO(…)MEDELLIN.COM | Personal de Aeropuerto |
| MARGARITA R. M. | GUAPI@(…) | Personal de Sede |
Una lista visible en el sistema comprometido detalla nombres completos, usuarios internos y correos electrónicos corporativos de personal de distintas sedes como Buenaventura, Cali y Medellín.
“Un actor malicioso puede dumpear toda la base de datos”, advirtió el investigador. Este término se refiere a descargar masivamente toda la información almacenada.
El impacto de una filtración de este calibre es profundo. La información operativa podría ser usada para sabotear o alterar itinerarios de vuelo, según se puede observar de los pantallazos que se compartieron con Muchohacker.lol que daban cuenta del acceso no autorizado.
Los datos personales de los empleados son un activo valioso para criminales que busquen suplantar identidades, realizar estafas o lanzar ataques de phishing dirigidos.
El analista asegura que intentó reportar la falla de seguridad a la empresa, pero sus advertencias no fueron atendidas. Igualmente, nosotros advertimos a la aerolínea el día de hoy antes de publicar este post pero no hubo respuesta.
“Quise reportar pero fui ignorado del todo”, indica el analista.
La exposición de este tipo de vulnerabilidades y la falta de respuesta a los reportes éticos son un riesgo latente para la infraestructura crítica del país.
