Pepito Grillo reserva hotel con Marsans
No se cuanto dinero se habrá gastado Marsans en el desarrollo de su canal online, Marsans.com pero me da la impresión de que no debe haber sido poco dinero. Es más, esta gente es de la que no escatima en gastos (recuerden si no lo que se gastó de dinero hace 2 veranos en promocionar mundoviaje.com, la primera agencia de viajes low cost). Por eso me sorprende más aún la historia que les voy a contar a continuación.
Hace unos meses, haciendo unas pruebas en diversas webs de viajes, vi algunas cosas curiosas en algunas de ellas. Uno de esos detalles ya lo comenté en un post anterior, donde hablabamos del suspenso de Edreams en matemáticas, ya que mostraba precios de hoteles que luego no se correspondían con la realidad (es decir, engañaba al consumidor final con los precios mostrados). Ese fallo era grave, porque daba información falsa al cliente y creaba confusión.
Pero la historia que les voy a contar ahora no es menos grave. Resulta que Pepito Grillo, el amigo de Pinocho, quería alojarse en un hotel en Madrid. Pero Pepito Grillo no tiene tarjeta de crédito. Así que ha decidido ir a Marsans.com, hacer una reserva de hotel en Madrid y reservar con una tarjeta de crédito inventada.
Yo hubiese esperado de Marsans.com que no me hubiera permitido hacer la reserva. Es tan sencillo como aplicar filtros de seguridad que comprueben la validez de la tarjeta de crédito. Si no se quiere hacer una conexión con alguna entidad bancaria para comprobar la validez de la tarjeta, que sería lo más normal y correcto, hay algoritmos que te permiten saber si la combinación de los 16 dígitos de la tarjeta y la fecha de caducidad son correctos.
Pero en Marsans no se han preocupado ni siquiera de eso. Pepito Grillo ha podido realizar su reserva, recibir el bono por pantalla y recibirlo por email. Si hubiese sido malo hubiera hecho la reserva para entrar hoy o mañana, y esto le hubiera generado gastos de cancelación a Marsans.com. Pero Pepito Grillo es muy bueno, y solo quería hacer ver la falta de seguridad en la web de Marsans.com.
De todas formas, esta falta de seguridad no afecta a los consumidores finales, ya que no se está poniendo en riesgo su información (más allá de que es probable que Marsans esté guardando los datos de la tarjeta de crédito que el cliente facilita en el proceso de reserva para poder posteriormente gestionar el pago, ya que no se está cobrando en el acto el importe de la reserva, como sería de esperar).
Lo normal sería que Marsans.com no se quede con ningún dato de la tarjeta de crédito del cliente, y que ésta información se transmitiese directamente al banco para confirmar que la tarjeta existe, que tiene fondos y que se cobrase la reserva en el acto, no guardando ningun tipo de información confidencial del cliente (como pueden ser los datos de la tarjeta de crédito) en los servidores de Marsans. Pero bueno, Marsans sabrá porque permite este fallo de seguridad en su web. El riesgo mayor lo está soportando Marsans, que podría recibir multitud de reservas con tarjetas falsas y que, en función de la fecha de la reserva, le podría generar un serio problema (por posibles gastos de cancelación de dichas reservas si se hacen con poco tiempo). No es comprensible que hayan invertido mucho dinero en el desarrollo del canal online de la agencia de viajes y hayan permitido que queden estos detalles tan poco profesionales.
Le damos las gracias al amigo Pepito Grillo, por habernos enviado esta información sobre este agujero de seguridad en la web de Marsans.com.