Claude destapó un fallo que permitía obtener boletos para los grandes festivales de música de EE UU
Ian Carroll, investigador de ciberseguridad y fundador de la startup Seats.aero, descubrió una vulnerabilidad crítica en Front Gate Tickets, la empresa que gestiona la venta de entradas para la mayoría de los grandes festivales de música de Estados Unidos, como Lollapalooza, Bonnaroo, South by Southwest, Austin City Limits y otros.
En abril de 2026 Carroll utilizó Claude Opus 4.7, el modelo de inteligencia artificial de Anthropic disponible a través del Programa de Verificación Cibernética, para analizar el sitio web de Front Gate y localizar un fallo de inyección SQL que, combinado con una configuración insuficiente del firewall de aplicaciones web, le permitió eludir los controles de seguridad y obtener acceso total a la API interna del sistema de tickets.
Detalles de la vulnerabilidad
La IA generó automáticamente un script que ejecutaba una consulta SQL anidada capaz de evadir la detección del firewall. Con esa consulta, Carroll obtuvo una muestra de una tabla que contenía información de cientos de miles de clientes (nombres, correos electrónicos, direcciones) y datos del personal de la empresa. El acceso también le concedió privilegios de superadministrador, lo que le permitió restablecer la contraseña de una cuenta de administrador mediante un código de verificación que el propio sitio almacenaba en el backend.
Una vez dentro, el investigador pudo añadir al carrito de compra cualquier tipo de entrada, incluidas las de categoría Platinum para Bonnaroo, cuyo precio supera los 4 000 USD. “Podía emitir tantas entradas como quisiera con solo pulsar un botón”, comentó Carroll, quien decidió no completar ninguna compra para evitar incurrir en fraude.
Front Gate, filial de Live Nation Entertainment, confirmó que la vulnerabilidad fue corregida en menos de 24 horas después de ser informada. En un comunicado la compañía afirmó que no había indicios de que la falla hubiera sido explotada ni de que la información de los clientes hubiera sido comprometida. Además, aseguró que cualquier intento de emisión fraudulenta habría sido registrado y anulado por sus sistemas de auditoría.
Carroll, sin embargo, cuestionó esas afirmaciones. Según su testimonio, logró controlar la cuenta de un superadministrador sin que el sitio mostrara alertas ni requiriera autenticación de dos factores, lo que evidencia una falta de controles de seguridad básicos. “Si alguien conociera la contraseña de un empleado, podría iniciar sesión y crear entradas gratuitas sin ninguna verificación adicional”, sostuvo.
Anthropic, por su parte, recordó que el Programa de Verificación Cibernética está diseñado para que investigadores autorizados utilicen sus herramientas en busca de vulnerabilidades, con el objetivo de fortalecer la seguridad del ecosistema digital. La empresa afirmó que, de no haber sido parte del programa, el uso de Claude para vulnerar Front Gate habría sido detectado y bloqueado.
El caso pone de relieve cómo la inteligencia artificial está transformando la detección de fallos de seguridad. Carroll admitió que la IA identificó y explicó la técnica de explotación de forma tan clara que él tuvo que revisarla para entenderla por completo. “Es posible que la vulnerabilidad hubiese sido descubierta de principio a fin sin que yo hiciera nada”, comentó.
Aunque la brecha ya ha sido subsanada, el incidente muestra que incluso plataformas con presupuestos multimillonarios y reputación consolidada pueden presentar fallos críticos que, combinados con herramientas de IA avanzadas, facilitan el acceso no autorizado a datos sensibles y a la generación de entradas gratuitas.
Mira tambien:

Deja una respuesta