Hackers Llave Maestra Hoteles

La firma de seguridad informática F-Secure ha descubierto una vulnerabilidad crítica en las cerraduras electrónicas fabricadas por la compañía Assa Abloy, una de las empresas más importantes del sector.

En este sentido, el fallo permitió a los investigadores obtener acceso a cualquier habitación cerrada en los hoteles que cuentan con el sistema de seguridad en cerraduras electrónicas de Assa Abloy, que son aproximadamente 40,000 en todo el mundo. En el anuncio de F-Secure, los investigadores afirman:

El ataque de los investigadores implica el uso de cualquier llave electrónica ordinaria para la instalación objetivo, incluso una que haya caducado, haya sido descartada o utilizada para acceder a espacios tales como un garaje o un armario. Usando información sobre la clave, los investigadores pueden crear una llave maestra con privilegios para abrir cualquier habitación en el edificio. El ataque se puede realizar sin ser detectado.

A través del exploit, los expertos de F-Secure lograron acceder a cualquier instalación del hotel utilizando el sistema VingCard de Assa Abloy. Según la publicación, lo único que necesitaron para demostrar la falla fue una tarjeta de acceso para invitados. En concreto, por medio de herramientas de hardware lograron leer estas tarjetas remotamente y las utilizaron para eludir la seguridad del sistema, creando sus propias llaves de acceso como si nada.

Tomi Tuominen, líder del equipo de F-Secure, afirmó que esta técnica, en manos de un actor malicioso podría permitir crear una llave maestra de la nada y acceder a cualquier habitación de un hotel. Sin embargo, afirmó que no cree que existan hackers que estén utilizando un exploit de naturaleza similar, algo que seguro representa un alivio para los viajeros.

Uno de los datos más curiosos de esta investigación de F-Secure es que, la motivación principal de explorar esta vulnerabilidad, nació hace 10 años, cuando uno de los miembros de la firma sufrió un robo de un portátil dentro de su habitación. Luego, el tribunal desestimó la denuncia porque no hubo prueba de que alguien accedió indebidamente ni hubo registros de entrada en la habitación, lo que sugirió a los investigadores que podría tratarse de un caso de violación de la seguridad informática.

Por su parte, se conoció que F-Secure y Assa Abloy trabajan conjuntamente para crear parches de seguridad para todos los sistemas informáticos de la firma en la industria hotelera.

Más en TekCrispy