La plataforma tecnológica OneFly ha sufrido una exposición de datos personales y financieros de miles de viajeros debido a un servidor mal configurado accesible públicamente, lo que ha permitido que información extremadamente sensible quedara al descubierto durante varios meses.
Investigadores de seguridad de Cybernews detectaron en octubre de 2025 que un servidor Elasticsearch perteneciente a OneFly, una empresa que opera como intermediaria entre agencias de viaje, aerolíneas y sistemas de reservas, estaba completamente accesible sin autenticación ni restricciones.
Ese servidor estaba conectado a varias aplicaciones internas Java Spring que transmitían datos en tiempo real, lo que significa que toda la información que pasaba por ellas quedó expuesta a cualquiera que conociera la dirección IP o URL del servicio.
Aunque la empresa aún no ha publicado una declaración oficial ni detallado si ha reforzado completamente sus sistemas, los datos estuvieron accesibles públicamente durante semanas.
Datos presuntamente expuestos
Según los hallazgos publicados por investigadores externos, la fuga habría incluido:
- Nombres completos y fechas de nacimiento de pasajeros.
- Detalles de documentos oficiales de identificación.
- Aproximadamente 10.000 registros de identificación personal.
- Unos 6.000 números completos de tarjetas de crédito.
- Detalles de vuelos: números de vuelo, fechas, destinos y precios de billetes.
- Tokens de autenticación internos JWT, que podrían permitir acceso sin usuario ni contraseña a ciertos sistemas si no se revocan.
¿Cómo se produjo la exposición?
La raíz del incidente fue una configuración incorrecta de una base de datos Elasticsearch que carecía de contraseñas y controles de acceso. A causa de esto, cualquier persona con acceso a la dirección del servidor podría listar, descargar o indexar los datos sin autenticarse.
Este tipo de errores de configuración, aunque simples de evitar, son una causa común de brechas de datos cuando se exponen sin protección sistemas que gestionan grandes volúmenes de información sensible.
Riesgos e impacto
Los datos expuestos pueden utilizarse de formas especialmente dañinas:
Para los viajeros afectados
- Robo de identidad usando DNI y otros documentos oficiales.
- Fraude financiero con tarjetas de crédito válidas.
- Campañas de phishing dirigidas y muy creíbles usando datos de viaje reales.
- Suplantaciones y estafas sofisticadas con referencia a vuelos o itinerarios.
Para OneFly y asociados (agencias y aerolíneas)
- Pérdida de confianza y reputación entre clientes y partners.
- Obligación de notificar brecha ante autoridades de protección de datos y reguladores por normativas como el GDPR.
- Posibles sanciones y acciones legales si se determina negligencia en el resguardo de datos.
¿Cómo comprobar si puedes estar afectado?
- Si has reservado vuelos a través de agencias que usan OneFly, revisa los extractos bancarios y las transacciones recientes.
- Monitorea tus cuentas de viaje y correo electrónico con especial atención en posibles mensajes sospechosos que hagan referencia a detalles reales de tu itinerario.
- Utiliza servicios de verificación de brechas de datos (como “Have I Been Pwned”) para comprobar si tu correo o DNI ha sido expuesto.
¿Qué hacer? Recomendaciones
Para viajeros particulares:
- Renovar tarjetas de crédito si se confirmaron números expuestos.
- Informar al banco de la posible exposición y solicitar alertas de fraude.
- Extremar precaución con correos o llamadas que mencionen detalles de tus viajes.
- Activar verificación en dos pasos en cuentas de correo y plataformas de viaje.
Para empresas y proveedores de servicios de viajes:
- Configurar correctamente bases de datos y servicios como Elasticsearch con autenticación y cifrado.
- Realizar auditorías periódicas de infraestructura y evaluar accesos externos.
- Formar a equipos técnicos y de seguridad sobre riesgos de exposiciones accidentales.
- Implementar monitorización y alertas para detectar accesos no autorizados rápidamente.
Más información:
- Fuente: escudodigital.com.
