Cómo Conseguí Puntos Ilimitados en Burger King
La historia de cómo Burger King España accidentalmente me dejó enviar puntos ilimitados a mi cuenta personal, todo porque olvidaron verificar un pequeño detalle.
¿Conoces esa sensación satisfactoria cuando encuentras un código de cupón que realmente funciona? Ahora multiplícalo por mil. Eso es básicamente lo que pasó cuando me topé con uno de los bugs más tontos que he visto en un programa de fidelización.
Esta es la historia de cómo Burger King España accidentalmente me dejó enviar puntos ilimitados a mi cuenta personal, todo porque olvidaron verificar un pequeño detalle.
No te preocupes, ya está parcheado. Esto es solo una historia divertida sobre lo que fue.
Todo Comenzó Con Una Encuesta
Burger King España tiene este programa de fidelización donde coleccionas "Coronas" y las cambias por comida gratis. Bastante estándar. Una de las formas de ganar puntos era completando una simple encuesta - ya sabes, las típicas preguntas de "¿cuáles son tus hobbies?". Responde algunas cosas sobre si prefieres Netflix o Disney+, Fórmula 1 o MotoGP, y boom - 1.500 puntos gratis depositados en tu cuenta.
Genial, ¿no? Puntos gratis solo por hacer clic en algunos botones.
Pero aquí está la cosa. Solo podías completar esta encuesta una vez por cuenta. Una cuenta, una encuesta, 1.500 puntos. Eso es todo. Justo.
O eso pensaba.
La URL Que Lo Cambió Todo
Cuando te invitaban a completar la encuesta, Burger King te enviaba a una URL que se veía algo así:
https://cloud.info.burgerkingencasa.es/cualificacion-app?sk=XXXXX&loyaltyID=YYYYY
Dos parámetros me llamaron la atención:
- sk - Este era el ID de Salesforce, básicamente un identificador vinculado a la cuenta que recibió la invitación a la encuesta
- loyaltyID - Este era TU número de tarjeta de fidelización, donde se depositarían los puntos
Y ahí fue cuando los engranajes empezaron a girar en mi cabeza.
¿Qué pasaría si... usara el enlace de encuesta de otra persona... pero con MI loyaltyID?
El Bug: Nunca Verificaron Si Eras Tú
Esto es lo que Burger King DEBERÍA haber hecho: verificar que el sk (el ID de cuenta) y el loyaltyID (donde van los puntos) realmente pertenecieran a la misma persona.
Esto es lo que Burger King REALMENTE hizo: absolutamente nada. Simplemente confiaron en lo que les enviaras.
Así que el exploit era estúpidamente simple:
- Crear una cuenta nueva de Burger King con un email falso
- Obtener el ID de Salesforce de esa cuenta (el parámetro
sk) - Construir una URL de encuesta usando el
skde esa nueva cuenta PERO con mi loyaltyID personal - Completar la encuesta
- Ver cómo 1.500 puntos aparecían mágicamente en MI cuenta
¿La nueva cuenta falsa? No recibía nada. Todos los puntos iban directamente a mí.
¿Y la mejor parte? Podía hacer esto una y otra vez. Cada nueva cuenta que creaba era una encuesta fresca que podía canalizar puntos hacia mi cuenta principal.
Automatizando la Máquina de Whoppers
Ahora, hacer esto manualmente sería tedioso. Crear cuenta, verificar email, obtener el ID, construir la URL, completar la encuesta... eso es mucho clic para 1.500 puntos.
Así que escribí un pequeño script para hacerlo por mí.
El flujo era simple:
Primero, la fábrica de cuentas:
- Generar una dirección de email temporal usando uno de esos servicios de email desechables
- Llamar a la API de registro de Burger King con el email falso y algunos datos aleatorios
- Esperar a que llegue el email de confirmación
- Hacer clic en el enlace de verificación
- Iniciar sesión en la nueva cuenta y obtener su ID de Salesforce
- Guardar la URL de la encuesta (con MI loyaltyID adjunto) en un archivo
Luego, el cosechador de puntos:
- Leer todas esas URLs guardadas
- Visitar cada una
- Rellenar la encuesta con respuestas aleatorias (sí, me gusta Netflix, sí, veo Fórmula 1, lo que sea)
- Enviar
- Los puntos van brrrrr
Cada ciclo tomaba quizás 30 segundos. Cada ciclo valía 1.500 puntos. Haz las cuentas.
Lo Que Hizo Esto Posible
Mirando hacia atrás, varias cosas tuvieron que salir mal para que esto funcionara:
Sin verificación entre cuenta e ID de fidelización. Este fue el grande. El sistema confiaba ciegamente en que si tenías un enlace de encuesta válido, merecías los puntos - sin importar a dónde fueran esos puntos.
Creación ilimitada de cuentas. No había CAPTCHA, ni verificación de teléfono, ni limitación de velocidad. Podías crear tantas cuentas como quisieras, tan rápido como quisieras.
Los emails temporales funcionaban perfectamente. El sistema aceptaba cualquier email que pudiera recibir correo. ¿Esas direcciones desechables de 10 minutos? Perfectamente válidas.
Acreditación instantánea de puntos. Los puntos aparecían inmediatamente. Sin período de espera, sin revisión humana, sin detección de fraude diciendo "oye, este loyaltyID acaba de recibir puntos de 47 encuestas diferentes en la última hora."
La encuesta siempre estaba disponible. Las cuentas nuevas podían acceder inmediatamente a la encuesta de cualificación. No necesitabas hacer una compra primero ni esperar una invitación.
Era como si hubieran construido una piñata de puntos y le dieran a todos un bate de béisbol.
El Botín
Una empresa multimillonaria, y su programa de fidelización podía ser vaciado por cualquiera con conocimientos básicos de programación y una tarde libre.
Por Qué Esto Importa (Más Allá de las Hamburguesas Gratis)
Este no fue un hackeo sofisticado. No hubo inyección SQL, ni desbordamiento de buffer, ni exploit zero-day. Fue solo... una verificación faltante. Una declaración if que debería haber existido pero no existía.
Y esa es en realidad la parte aterradora. La mayoría de las vulnerabilidades de seguridad no son ingeniosas. Son obvias en retrospectiva. Alguien simplemente olvidó verificar que A coincidiera con B.
Si estás construyendo cualquier tipo de sistema de recompensas, esto es lo que deberías aprender del error de Burger King:
Siempre valida la propiedad. Si una acción involucra dos identificadores (como un ID de cuenta y un ID de fidelización), verifica que pertenezcan a la misma persona. Cada. Maldita. Vez.
Limita la velocidad de creación de cuentas. Los humanos normales no crean 100 cuentas por hora. Si alguien lo hace, eso es una señal de alerta.
Requiere verificación real. La confirmación por SMS no es perfecta, pero es mucho mejor que aceptar cualquier email que exista.
Añade retrasos a las recompensas. Si los puntos tardaran 24-48 horas en acreditarse, habría tiempo para detectar patrones y detener el abuso antes de que se saliera de control.
Monitorea anomalías. ¿Un loyaltyID recibiendo puntos de docenas de encuestas de diferentes cuentas? Eso debería disparar una alerta en algún lugar.
El Parche
Eventualmente, Burger King lo descubrió. No sé si alguien lo reportó o si finalmente notaron la actividad sospechosa, pero la fiesta llegó a su fin.
Ahora el sistema realmente verifica que tu invitación a la encuesta coincida con tu cuenta de fidelización. Concepto revolucionario, lo sé.
Las cuentas que creé probablemente están todas baneadas. Los puntos se fueron. Los Whoppers fueron digeridos.
¿Pero los recuerdos? Esos son para siempre.
Reflexiones Finales
¿Fue esto ético? Discutible. ¿Fue ilegal? Probablemente en algún sentido técnico. ¿Estuvo delicioso? Absolutamente.
Comparto esta historia no como una guía (de nuevo, está parcheado), sino como un recordatorio de que incluso las grandes empresas cometen errores tontos. La seguridad no se trata de construir fortalezas impenetrables - se trata de no dejar la puerta trasera abierta de par en par con un cartel que diga "CORONAS GRATIS, SÍRVETE TÚ MISMO."
Al equipo de seguridad de Burger King: perdón por todos esos Whoppers. Aunque estaban muy buenos.
Y para cualquiera construyendo un programa de fidelización: por favor, por el amor de todo lo que es a la parrilla, valida tus parámetros.
🍔👑
Esta vulnerabilidad ha sido parcheada. Este post es solo con fines educativos y de entretenimiento. Si intentas replicar esto, solo serás baneado y te quedarás con hambre.