Claude destapó un fallo que permitía obtener boletos para los grandes festivales de música de EE UU

Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Sin embargo, aunque la vulnerabilidad ya se ha corregido, el incidente demuestra hasta qué punto la IA puede ser capaz de descubrir fallos en todas las facetas de internet. Carroll, que forma parte del Programa de Verificación Cibernética de Anthropic, el cual permite a investigadores de seguridad autorizados utilizar sus herramientas para determinadas funciones de hacking, afirma que le sorprendió la facilidad con la que Claude identificó los elementos clave de su técnica para infiltrarse en el sitio web de Front Gate. "Creo que hay muchas posibilidades de que hubiera encontrado esta vulnerabilidad de principio a fin sin que yo tuviera que hacer absolutamente nada", argumenta Carroll.

Cuando WIRED se puso en contacto con Anthropic, la empresa respondió en un comunicado que "creó nuestro Programa de Verificación Cibernética para poner a disposición de los defensores capacidades de seguridad avanzadas, de modo que puedan llevar a cabo precisamente este tipo de investigación que ayuda a que el código del mundo sea más seguro". Añadió que, si Carroll no hubiera formado parte del programa, su uso de Claude para hackear los sistemas de Front Gate habría sido detectado y bloqueado.

En su respuesta a WIRED, el portavoz de Front Gate argumentó que las medidas de seguridad de la empresa limitaron la exposición de información personal, que la emisión fraudulenta de entradas habría dejado un rastro de auditoría y que las entradas emitidas por un hacker habrían sido detectadas y canceladas antes de que pudieran utilizarse. Carroll replica que esas afirmaciones son inciertas. Afirma que obtuvo con éxito privilegios de superadministrador en la plataforma de la empresa sin ninguna respuesta aparente por parte de la misma, y ​​que, de hecho, accedió al sitio a través de un portal de inicio de sesión público.

Carroll también señala que Front Gate no afirma tener pruebas de que la vulnerabilidad no hubiera sido explotada previamente. Es más, Front Gate confirmó los hallazgos de Carroll después de que este compartiera con la empresa un borrador de una entrada de blog sobre su descubrimiento, antes de que WIRED se pusiera en contacto con Front Gate. En su respuesta a Carroll en aquel momento, la empresa no negó que este pudiera generar tickets a su antojo.

Carroll cuenta que conoció Front Gate hace un par de meses, cuando estaba considerando asistir al Electric Daisy Carnival, un gran festival de música electrónica en su ciudad natal, Las Vegas. Vio que Front Gate se encargaba de la venta de entradas del festival y le intrigó descubrir, al consultar las páginas web de otros festivales, que la misma empresa gestionaba la venta de entradas de prácticamente todos los grandes festivales de música de Estados Unidos, excepto Coachella. "Es como Ticketmaster, pero para festivales de música. Básicamente es un monopolio", recuerda haber pensado.

Una lista de festivales de música que Carroll encontró en el sistema de Front Gate Tickets. Aunque aparecen marcados...

Una lista de festivales de música que Carroll encontró en el sistema de Front Gate Tickets. Aunque aparecen marcados como 2025, Carroll afirma que, al hacer clic, se revelaban las fechas de los eventos de 2026.

Ian Carroll

Ni la mejor distribuidora de boletos se salva

Como investigador de seguridad especializado en la detección de vulnerabilidades web, decidió explorar el dominio web de Front Gate en busca de fallos. Rápidamente encontró lo que parecía ser una vulnerabilidad de inyección SQL, un fallo común que permite a un hacker introducir comandos en un campo de texto de un sitio web, lo que provoca que se ejecuten en el servidor del sitio y, en ocasiones, que se envíen datos almacenados en una base de datos. Sin embargo, un cortafuegos de aplicaciones web del sitio parecía impedirle explotar la vulnerabilidad.

Así que le pidió a Claude Opus 4.7, el modelo de IA más avanzado que Anthropic había puesto a disposición del público en general en aquel momento, que encontrara una forma de explotar el fallo. Este codificó de inmediato una técnica de hacking que eludía la barrera de seguridad. "Era, en realidad, la primera vez que me encontraba con una vulnerabilidad que no entendía del todo. Tuve que volver atrás y leer lo que Claude había escrito. La IA lo hizo por sí misma", afirma Carroll.