URL has been copied successfully!
Inicio Virales Claude sorprende al descubrir una vulnerabilidad crítica en la mayor ticketera de festivales de EE. UU.

Claude sorprende al descubrir una vulnerabilidad crítica en la mayor ticketera de festivales de EE. UU.

por 6wnews-leslie mobtx
158,8K Veces Visto

La inteligencia artificial volvió a demostrar su potencial en el ámbito de la ciberseguridad. Un investigador estadounidense utilizó Claude Opus 4.7, desarrollado por Anthropic, para descubrir una vulnerabilidad crítica en Front Gate Tickets, una de las principales plataformas de venta de boletos para festivales y conciertos en Estados Unidos.

El hallazgo llamó la atención porque la IA desarrolló una técnica para evadir los sistemas de protección del sitio que incluso resultó difícil de comprender para el propio investigador.

Una falla protegida por un firewall

El especialista en seguridad Ian Carroll, conocido por participar en programas de recompensas por vulnerabilidades, detectó en abril una posible falla de inyección SQL en el portal de Front Gate Tickets.

Aunque el sitio contaba con un firewall de aplicaciones web que impedía explotar directamente la vulnerabilidad, Carroll pidió ayuda a Claude Opus 4.7 para encontrar una alternativa.

De acuerdo con un reportaje de WIRED, la inteligencia artificial generó de forma autónoma una técnica basada en consultas SQL anidadas que consiguió evadir el sistema de protección.

La IA desarrolló un método que sorprendió al investigador

Según Carroll, Claude escribió un script capaz de acceder a información almacenada en cientos de bases de datos.

Lo más sorprendente fue que el investigador reconoció que tuvo que revisar cuidadosamente el código generado por la IA para comprender cómo había logrado eludir el firewall.

«Tuve que volver atrás y leer lo que Claude había escrito para entender el bypass, porque yo no lo escribí. Claude lo hizo completamente solo», explicó a WIRED.

Acceso con privilegios de superadministrador

Una vez dentro del sistema, Carroll comprobó que era posible obtener acceso a una cuenta de superadministrador mediante el restablecimiento de contraseña utilizando códigos disponibles en el backend del sitio.

Con esos privilegios podía administrar prácticamente cualquier evento gestionado por la plataforma, incluyendo festivales como:

  • Lollapalooza
  • South by Southwest
  • Austin City Limits
  • Bonnaroo

Incluso tenía la posibilidad de generar boletos VIP o entradas completamente agotadas.

El investigador decidió no aprovechar la vulnerabilidad

Aunque el sistema le permitía añadir boletos de alto valor a su carrito sin restricciones, Carroll decidió no emitir ninguno.

En lugar de ello, notificó inmediatamente a Front Gate Tickets sobre el problema.

La empresa corrigió la vulnerabilidad en menos de 24 horas.

¿Se comprometieron datos de usuarios?

Front Gate aseguró posteriormente que no existen indicios de que la falla hubiera sido explotada por terceros.

La compañía afirmó que:

  • No se emitieron boletos fraudulentos.
  • No se comprometieron datos bancarios.
  • No existen evidencias de acceso indebido a la información de clientes.

Sin embargo, el investigador considera que, de haber sido utilizada con fines maliciosos, la vulnerabilidad podría haber expuesto información de millones de usuarios, incluyendo nombres, direcciones y correos electrónicos.

La IA también transforma la ciberseguridad

El caso refleja cómo los modelos de inteligencia artificial están comenzando a desempeñar un papel importante en la investigación de vulnerabilidades.

Carroll participa en el Programa de Verificación Cibernética de Anthropic, iniciativa que permite a investigadores autorizados utilizar Claude para evaluar sistemas informáticos de manera responsable.

El episodio también abre un nuevo debate sobre el papel de la IA en la ciberseguridad: las mismas herramientas capaces de fortalecer la protección digital también podrían descubrir vulnerabilidades cada vez más sofisticadas, lo que obliga a las empresas a reforzar constantemente sus sistemas de defensa.

Tambien te puede interesar

6W News – La prensa digital que no se vende, pero sí se comparte.
En 6w.news nuestra esencia se fundamenta en la técnica periodística de las 6W: Who, What, When, Where, Why y How. Creemos que una noticia solo cobra sentido cuando responde a estas preguntas clave.

Deportes

Mundo

Local

6w.news All Right Reserved. Designed, Produced & Developed byMobTx