Spoiler alerta: no, ese no es mi boarding pass real en la imagen. Os explico exactamente por qué en las 600 palabras que siguen.
Barajas. Terminal 4. Dos horas por delante.
El tipo de momento en que pides un café demasiado caro, abres el teléfono y la mente empieza a divagar. Miré mi tarjeta de embarque en la pantalla. Ese código QR que he enseñado diez veces desde esta mañana. En los mostradores, a los agentes, en la cola.
Y me pregunté: qué hay ahí dentro, exactamente?
Spoiler: mucho más que tu asiento
Un código QR de tarjeta de embarque es un formato estandarizado. El BCBP, o Boarding Card Bar Code, definido por la IATA. Y ese estándar es público. Lo que significa que cualquiera con un lector QR un poco curioso puede decodificar tu tarjeta de embarque.
Lo que contiene: tu nombre completo, número de vuelo, aeropuertos de salida y llegada, número de asiento, estado del equipaje, código de reserva PNR, y a menudo tu número de programa de fidelización.
El PNR es lo más sensible. Con ese código de seis caracteres y tu nombre, cualquiera puede acceder a tu reserva completa en el sitio de la compañía. Itinerario, datos de contacto, preferencias de comida, a veces los últimos cuatro dígitos de la tarjeta bancaria utilizada.
Todo eso en un código QR que levantas en el aire en una cola.
La foto del boarding pass en las redes
Seguro que has visto este tipo de publicación. Alguien que se va de vacaciones, que publica una foto de su billete con el código QR visible. A veces medio difuminado, a veces nada.
Difuminar el código QR a medias no sirve de nada. El formato BCBP codifica los datos con redundancia, un código parcialmente visible suele ser suficiente para decodificarlo.
Y una vez recuperado el PNR, qué se hace? Se puede consultar la reserva, a veces modificarla, cambiar el asiento, cancelar el equipaje. Algunas compañías permiten incluso cambiar los datos de contacto desde el portal de gestión de reservas, solo con el PNR y el nombre.
No es ciencia ficción. Está documentado, probado y regularmente advertido por los investigadores de seguridad.
En el aeropuerto, el boarding pass viaja mucho
Esta mañana he enseñado mi código QR en un mostrador automático, a un agente de seguridad, a un segundo agente en la entrada de la zona Schengen, y lo voy a enseñar de nuevo en la puerta de embarque.
Cada vez, alguien o algo lo escanea. En la gran mayoría de los casos, completamente legítimo. Pero en una zona llena de gente, una cámara discreta o un simple teléfono puede capturar lo que aparece en tu pantalla sin que te des cuenta.
El brillo suele estar al máximo para acelerar el escaneo. Práctico para los mostradores. Práctico también para quien esté cerca.
Buenos hábitos, sin volverse paranoico
Nunca publiques tu tarjeta de embarque en las redes, aunque esté difuminada. Aunque sea después del vuelo. El PNR sigue activo un tiempo después de aterrizar, y los datos personales asociados también.
Baja el brillo entre controles. No hace falta que tu código QR sea legible desde tres metros mientras esperas en la cola.
Después del viaje, elimina el billete de tu galería de fotos y de tu app de gestión de viajes si ya no lo necesitas. Una captura de pantalla en un teléfono perdido o hackeado es una reserva accesible.
Activa la doble autenticación en tu cuenta de la compañía aérea. El PNR solo ya no es suficiente para acceder a la reserva si el acceso está bien protegido. Si viajas con frecuencia, esto es lo mínimo.
De vuelta a mi café demasiado caro
El avión sale en hora y media. Mi tarjeta de embarque ha vuelto al bolsillo.
Solo con una perspectiva ligeramente diferente sobre ese pequeño cuadrado en blanco y negro que llevo encima desde esta mañana sin pensar realmente en ello.
No es un billete. Es una llave. Trátalo como tal.