Han creado una 'tarjeta maestra' capaz de dar acceso a las habitaciones de más de 42.000 hoteles en todo el mundo
Bajo la premisa de que cualquier dispositivo electrónico puede ser vulnerado, la empresa de seguridad cibernética, F-Secure, ha creado un dispositivo que, aseguran, puede extraer los datos de las tarjetas de acceso de los hoteles y crear una tarjeta maestra que daría acceso a todas las habitaciones de uno o varios hoteles.
Este dispositivo aprovecha un fallo en el diseño del sistema de las cerraduras electrónicas, lo que permitiría crear dicha tarjeta maestra con sólo acceder a un tarjeta de hotel sin importar que ya no esté en uso. El detalle, y lo preocupante, es que está vulnerabilidad está presente en la cerradura electrónica Vision by VingCard, propiedad de la compañía Assa Abloy, la cual está disponible hoy día en más de 42.000 hoteles en 166 países.
Este sistema de cerraduras electrónicas ha incrementado su uso de forma importante, lo que ha hecho que se posicione como el mecanismo de seguridad más usado en los hoteles de todo el mundo. Éste se usa no sólo en las habitaciones, ya sea por RFID o banda magnética, sino también en los ascensores para limitar el acceso a las plantas, así como otras zonas restringidas en los hoteles.
Como sabemos, estas tarjetas se devuelven una vez que hacemos check-out y se pueden volver a utilizar para un nuevo huésped. A veces, algunas personas no las devuelven y esto ha provocado que se puedan convertir en puertas de acceso a los datos del sistema de cerraduras, ya que aunque estén desactivadas guardan información que en este caso se puede reutilizar para crear una tarjeta maestra.
Los responsables de esta hazaña han sido Tomi Tuominen y Timo Hirvonen de F-Secure, quienes desarrollaron un sistema de clonación personalizado usando un dispositivo de mano, el cual sería capaz de robar los datos de una tarjeta, manipularlos e identificar a qué hotel o cadena pertenecen. Con estos datos, el sistema produciría un token de acceso con todos los privilegios que al final serviría como llave maestra, es decir, como una de las tarjeta que usa el personal de limpieza para acceder a las habitaciones a hacer el aseo.
Podría sonar sencillo, pero Tuominen y Hirvonen explican que se trata de un trabajo que les llevó poco más de diez años, donde tuvieron que investigar de estos sistemas de acceso, entender cómo funcionan las cerraduras y ver los datos residuales que quedan en las tarjetas desactivadas. Por lo anterior, estos investigadores aseguran que ahora mismo no existe nadie que esté usando un dispositivo de este tipo con fines maliciosos.
F-Secure menciona que en abril de 2017 fue cuando lograron crear el primer entorno de clonación vía RFID, e inmediatamente notificaron a Assa Abloy del hallazgo. Durante todo el año pasado, ambas compañías trabajaron para desarrollar una solución a estas vulnerabilidades, por lo que ya lograron parchear el software del servidor central. Sin embargo, los hoteles son los responsables de aplicar dicho parche en sus sistemas para evitar accesos no autorizados, además, deberán actualizar el firmware de cada cerradura electrónica si es que no quieren seguir siendo vulnerables a este tipo de ataques.