Crean “llave maestra” que puede abrir habitaciones de 42.000 hoteles
La compañía finlandesa F-Secure ha logrado crear un dispositivo que le permite clonar cualquier tarjeta de acceso, y de esa clonación hacer una tarjeta que les permite abrir cualquier puerta que utilice el mismo sistema de cerradura electrónica. Esta llave maestra les permite explotar una vulnerabilidad en el sistema de llaves Visión de VingCard, una de las verticales de Assa Abloy,agencia de seguridad que le provee este sistema de seguridad a más de 42,000 hoteles en 166 países.
Cadenas de hoteles a nivel mundial están utilizando un mecanismo de seguridad que ha tenido esta misma vulnerabilidad durante casi más de 10 años, pero que solo hasta ahora sale a la luz. Los investigadores que crearon esta herramienta, Tomi Tuominen y Timo Hirvonen, ya han compartido su trabajo con Assa Abloy, asegurándose de trabajar con ellos para encontrar una solución al problema.
La creación de la llave maestra
Tomi y Timo se encontraban atendiendo una conferencia de seguridad hace 10 años, cuando a uno de sus colegas le robaron su laptop de trabajo dentro de su habitación de hotel. Cuando fueron a reportarlo al staff, el hotel decidió que este reporte era falso, pues sus sistemas no mostraban ningún intento de entrada forzada, o accesos no autorizados a la habitación.
Fue a partir de ese momento que este par de desarrolladores se inspiró en investigar el funcionamiento de este tipo de sistemas, llevándoles 10 años de trabajo la creación de este dispositivo.
Dicen que no fue fácil. Esta clase de sistemas son muy complejos, pero por lo mismo están sujetos a vulnerabilidades que nadie pudo haberse imaginado. En este caso, fue gracias a las tarjetas que reutilizan los hoteles. Ya sea por RFID o por banda magnética, estas tarjetas guardan la información necesaria acerca de los accesos al hotel. Por lo que no importa para que estén programadas en ese momento, ya cuentan con los accesos necesarios para cualquier cerradura dentro de sus sistema.
Los hoteles son quienes han decidido confiar en las compañías de seguridad, pocas veces adentrándose en sus propios sistemas de seguridad. Esto resulta en varios hoteles con los mismos accesos, en donde se podrían utilizar las mismas llaves para diferentes establecimientos.
Los desarrolladores de F-Secure han recalcado que no harán públicas las herramientas que desarrollaron, y que un parche para esta vulnerabilidad ya fue desarrollado en Assa Abloy. Ahora depende de cada hotel el actualizar sus sistemas si quieren eliminar esta vulnerabilidad.
Con información de FayerWayer.
-No te quedes callado. Haz pública tu denuncia al WhatsApp 449 425 74 74.-
Tags: hoteles,, llave maestra,