Una tarjeta maestra pone en jaque la seguridad de miles de hoteles

Por ahotelera el 02 02UTC mayo 02UTC 2018 en Associació Hotelera Salou-Cambrils-La Pineda-Vilaseca/Silvia Delgado
0

Durante una conferencia de seguridad, el portátil de uno de los empleados de F-Secure desapareció por arte de magia de la habitación del hotel en la que lo había dejado. La respuesta más obvia es que había sido robado, pero no había ningún otro indicio que señalara esa opción, puesto que la cerradura no había sido forzada.

Este suceso fue el que impulsó al equipo de dicha empresa de seguridad cibernética a investigar sobre la posibilidad de crear una tarjeta con la que entrar a todas las habitaciones, es decir, que hackease el sistema.

¿Y qué encontraron? Pues que un fallo en el software de Vision, el mecanismo de seguridad presente en aproximadamente 42.000 hoteles de más de 160 países, podía ser aprovechado para conseguir una “tarjeta maestra” que permitiese acceder a todos los rincones del hotel, incluidos los restringidos.

Aunque se enfocaron en esta conocida marca, la investigación podría aplicarse a cualquier sistema de cerraduras electrónicas.

¿En qué consiste esa “tarjeta maestra”?

F-Secure ha creado un dispositivo con la capacidad de extraer los datos de las tarjetas de acceso de los hoteles, sin importar que estén en desuso. Con una herramienta de lectura y escritura de tarjetas RFIP Proxmark, y un conjunto de trucos criptográficos para descifrar los códigos electrónicos, los investigadores encontraron un método para reducir las opciones de código.

Por lo tanto, el dispositivo portátil Proxmark puede ser utilizado para barajar los posibles e identificar el correcto en unos 20 intentos, para luego escribir ese código maestro en una tarjeta que le da al hacker libertad para recorrer cualquier habitación. Según los creadores, todo el proceso llevaría un minuto.

F-Secure notificó a Assa Abloy, uno de los grandes fabricantes de cerraduras del mundo, los hallazgos y colaboró con él durante todo el año pasado para implementar arreglos de software. Las actualizaciones se han puesto a disposición de las propiedades afectadas.

Sin embargo, los hoteles son los responsables de aplicar dicho parche en sus sistemas para evitar accesos no autorizados, además de actualizar el firmware de cada cerradura electrónica si es que no quieren seguir siendo vulnerables a este tipo de ataques.

Fuente: Tecnohotel

Sobre el autor

ahoteleraVer todas las entradas de ahotelera