Hackers crean llave maestra que abre cualquier habitación de hotel
Un equipo de investigadores de la firma de seguridad F-Secure ha descubierto cómo crear una llave maestra que puede abrir la cerradura electrónica de cualquier habitación de hotel.
Todo comenzó en 2003, cuando un amigo de Tomi Tuominen, investigador de F-Secure, sufrió el robo de su ordenador en una habitación de un hotel exclusivo. La puerta no estaba forzada y el registro de la cerradura electrónica, un lector de tarjetas RIFD convencional comercializado por VingCard, no tenía ningún acceso más allá de las entradas del personal.
A raíz de este incidente, Tuominen y su compañero Timo Hirvonen empezaron a buscar posibles vulnerabilidades en las cerraduras electrónicas de la empresa matriz de VingCard, Assa Abloy, que es mayor fabricante mundial de este tipo de sistemas para los hoteles. Ahora, más de una década de investigación después, el equipo ha presentado un sistema que es capaz de crear una llave maestra para entrar en cualquier habitación de hotel.
Fabricar una llave maestra no lleva más de un minuto. Para ello, los investigadores utilizan unaherramienta de lectura y escritura de tarjetas RFID Proxmark de 300 dólares. Al introducir una tarjeta ya usada del hotel en este dispositivo portátil, el sistema analiza los códigos para identificar el correcto en 20 intentos aproximadamente, lo que no le lleva más de 60 segundos. Después, escribe el código maestro en una tarjeta, que ya está lista para ser utilizada para acceder a cualquier habitación.
El equipo señala que su sistema para hackear las cerraduras de las habitaciones de hotel solo funciona con el modelo Vision de VingCard, no con la nueva línea de producto de la compañía, llamada VisionLine. No obstante, estiman que alrededor de 140.000 hoteles de más de 160 países todavía utilizan la generación anterior de cerraduras electrónicas, por lo que estarían afectados por la vulnerabilidad.
Tuominen y Hirvonen afirman que avisaron a Assa Abloy de sus hallazgos hace un año y la compañía lanzó una actualización de seguridad el pasado mes de febrero. Sin embargo, dado que las cerraduras no tienen conexión a Internet, el software tiene que ser instalado manualmente puerta por puerta, de forma que se trata de una tarea ardua y lenta y es posible que muchos hoteles no las hayan actualizado.