Claude destapó un fallo que permitía obtener boletos para los grandes festivales de música de EE UU

Ian Carroll, investigador de ciberseguridad y fundador de la startup Seats.aero, descubrió una vulnerabilidad crítica en Front Gate Tickets, la empresa que gestiona la venta de entradas para la mayoría de los grandes festivales de música de Estados Unidos, como Lollapalooza, Bonnaroo, South by Southwest, Austin City Limits y otros.

En abril de 2026 Carroll utilizó Claude Opus 4.7, el modelo de inteligencia artificial de Anthropic disponible a través del Programa de Verificación Cibernética, para analizar el sitio web de Front Gate y localizar un fallo de inyección SQL que, combinado con una configuración insuficiente del firewall de aplicaciones web, le permitió eludir los controles de seguridad y obtener acceso total a la API interna del sistema de tickets.

Detalles de la vulnerabilidad

La IA generó automáticamente un script que ejecutaba una consulta SQL anidada capaz de evadir la detección del firewall. Con esa consulta, Carroll obtuvo una muestra de una tabla que contenía información de cientos de miles de clientes (nombres, correos electrónicos, direcciones) y datos del personal de la empresa. El acceso también le concedió privilegios de superadministrador, lo que le permitió restablecer la contraseña de una cuenta de administrador mediante un código de verificación que el propio sitio almacenaba en el backend.

Una vez dentro, el investigador pudo añadir al carrito de compra cualquier tipo de entrada, incluidas las de categoría Platinum para Bonnaroo, cuyo precio supera los 4 000 USD. “Podía emitir tantas entradas como quisiera con solo pulsar un botón”, comentó Carroll, quien decidió no completar ninguna compra para evitar incurrir en fraude.

Puntos Clave
  • Ian Carroll utilizó Claude Opus 4.7 para descubrir una vulnerabilidad crítica de inyección SQL en Front Gate Tickets, la plataforma que vende entradas para los principales festivales de EE UU
  • La falla, combinada con una configuración deficiente del firewall de aplicaciones web, le otorgó acceso total a la API interna y privilegios de superadministrador, exponiendo datos de cientos de miles de clientes y empleados
  • Con ese acceso, Carroll pudo añadir al carrito cualquier tipo de entrada, incluidas las de categoría Platinum de Bonnaroo (más de 4 000 USD), aunque

Front Gate, filial de Live Nation Entertainment, confirmó que la vulnerabilidad fue corregida en menos de 24 horas después de ser informada. En un comunicado la compañía afirmó que no había indicios de que la falla hubiera sido explotada ni de que la información de los clientes hubiera sido comprometida. Además, aseguró que cualquier intento de emisión fraudulenta habría sido registrado y anulado por sus sistemas de auditoría.

Carroll, sin embargo, cuestionó esas afirmaciones. Según su testimonio, logró controlar la cuenta de un superadministrador sin que el sitio mostrara alertas ni requiriera autenticación de dos factores, lo que evidencia una falta de controles de seguridad básicos. “Si alguien conociera la contraseña de un empleado, podría iniciar sesión y crear entradas gratuitas sin ninguna verificación adicional”, sostuvo.

Anthropic, por su parte, recordó que el Programa de Verificación Cibernética está diseñado para que investigadores autorizados utilicen sus herramientas en busca de vulnerabilidades, con el objetivo de fortalecer la seguridad del ecosistema digital. La empresa afirmó que, de no haber sido parte del programa, el uso de Claude para vulnerar Front Gate habría sido detectado y bloqueado.

El caso pone de relieve cómo la inteligencia artificial está transformando la detección de fallos de seguridad. Carroll admitió que la IA identificó y explicó la técnica de explotación de forma tan clara que él tuvo que revisarla para entenderla por completo. “Es posible que la vulnerabilidad hubiese sido descubierta de principio a fin sin que yo hiciera nada”, comentó.

Aunque la brecha ya ha sido subsanada, el incidente muestra que incluso plataformas con presupuestos multimillonarios y reputación consolidada pueden presentar fallos críticos que, combinados con herramientas de IA avanzadas, facilitan el acceso no autorizado a datos sensibles y a la generación de entradas gratuitas.

Javier Mendoza Silva
Javier Mendoza Silva Periodista

Licenciado en Comunicación Social con mención en Periodismo por la Universidad Central de Venezuela. Tiene 12 años de experiencia en cobertura de política nacional y conflictos sociales, con enfoque en derechos humanos. Ha trabajado para medios impresos, digitales y radiofónicos en Latinoamérica.

Vota post
Mira tambien:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir