Durante una conferencia de seguridad, el portátil de uno de los empleados de F-Secure desapareció por arte de magia de la habitación del hotel en la que lo había dejado. La respuesta más obvia es que había sido robado, pero no había ningún otro indicio que señalara esa opción, puesto que la cerradura no había sido forzada.
Este suceso fue el que impulsó al equipo de dicha empresa de seguridad cibernética a investigar sobre la posibilidad de crear una tarjeta con la que entrar a todas las habitaciones, es decir, que hackease el sistema.
¿Y qué encontraron? Pues que un fallo en el software de Vision, el mecanismo de seguridad presente en aproximadamente 42.000 hoteles de más de 160 países, podía ser aprovechado para conseguir una «tarjeta maestra» que permitiese acceder a todos los rincones del hotel, incluidos los restringidos.
Aunque se enfocaron en esta conocida marca, la investigación podría aplicarse a cualquier sistema de cerraduras electrónicas.
¿En qué consiste esa «tarjeta maestra»?
F-Secure ha creado un dispositivo con la capacidad de extraer los datos de las tarjetas de acceso de los hoteles, sin importar que estén en desuso. Con una herramienta de lectura y escritura de tarjetas RFIP Proxmark, y un conjunto de trucos criptográficos para descifrar los códigos electrónicos, los investigadores encontraron un método para reducir las opciones de código.
Por lo tanto, el dispositivo portátil Proxmark se puede utilizar para barajar los posibles e identificar el correcto en unos 20 intentos, para luego escribir ese código maestro en una tarjeta que le da al hacker libertad para recorrer cualquier habitación. Según los creadores, todo el proceso llevaría un minuto.
F-Secure notificó a Assa Abloy, uno de los grandes fabricantes de cerraduras del mundo, los hallazgos y colaboró con él durante todo el año pasado para implementar arreglos de software. Las actualizaciones se han puesto a disposición de las propiedades afectadas.
Desde F-Secure agradecen al equipo de I+D de Assa Abloy «su colaboración para rectificar estos posibles problemas. Gracias a su disposición para abordar los problemas identificados a través de nuestra investigación, el mundo de los hoteles es ahora un lugar más seguro. Instamos a cualquier establecimiento que use este software a que aplique la actualización lo antes posible», remarca Timo Hirvonen, Consultor Senior de Seguridad en F-Secure.
Por último, desde F-Secure quieren dejar claro que no se dañó la habitación de ningún hotel durante el curso de la investigación y que las herramientas de ataque que utilizaron para hackear las puertas no están disponibles.
