F-Secure investiga: cómo crear llaves maestras
Al reservar una habitación de hotel, la seguridad es uno de los factores que el usuario tiene más en cuenta. Saber si el hotel cuenta con servicio de habitaciones, aire acondicionado o wifi gratis, también queremos saber que, tanto nosotros como nuestras pertenencias, estaremos a salvo durante nuestra estancia. Cuanto mejor sea la reputación del establecimiento y su ubicación, más seguros nos sentiremos.
Pero, ¿qué sucede si averiguamos que el sistema de cerraduras que controla la seguridad de tu habitación es vulnerable y puede ser hackeada? ¿Qué pasaría si un atacante pudiera, no solo acceder a tu habitación, si no a cualquier área del edificio?
Da miedo, pero ese es el escenario que los investigadores de F-Secure descubrieron al investigar a Assa Abloy, el mayor fabricante de sistemas de cerraduras empleadas en establecimientos hoteleros. El hallazgo afecta a millones de cerrojos en miles de hoteles en todo el mundo, incluyendo cadenas internacionales de renombre.
El comienzo
Dos de nuestros ‘ethical hackers’ asitieron a una conocida conferencia de seguridad informática en Berlín, hace unos años. Durante su estancia en la capital alemana, el portátil de un compañero fue sustraído de su habitación de hotel mientras estaba fuera sin que la puerta fuera forzada. Al notificar el robo al hotel, la dirección desestimó la denuncia ya que no había constancia de un acceso no autorizado a la habitación.
El misterio picó la curiosidad de nuestros investigadores y decidieron indagar si era posible acceder a una habitación bloqueada sin la llave y sin dejar rastro alguno. Al final, tras más de una década y miles de horas de investigación en los ratos libres, averiguaron cómo hacerlo.
El objetivo: una marca de cerraduras de gran prestigio por su calidad y seguridad.
“Ni te imaginas qué podría hacer una persona con malas intenciones con el poder de entrar en cualquier habitación de hotel con una llave maestra”, dijo Tomi Tuominen, responsable de los servicios de ciberseguridad de F-Secure. Tomi trabajó mano a mano con Timo Hirvonen, Senior Security Consultant, para diseñar la táctica que llevó a la explotación del software, conocido como Vision by VingCard.
El ataque
Para empezar, el atacante necesita conseguir el acceso a una llave electrónica para atacar el sistema. Cualquier llave bastará, de hecho, la llave no tiene por qué estar siquiera activa, incluso una llave caducada de una estancia de hace cinco año también valdrá.
El atacante leerá la llave y, mediante un pequeño dispositivo, obtendrá más llaves que usará contra cualquier cerradura dentro del mismo edificio. En cuestión de minutos, el dispositivo es capaz de generar una llave maestra. Entonces, usará el dispositivo en lugar de la llave para sortear cualquier cerrojo o anular la información de una llave activa por la maestra recién creada.
El hardware necesario está disponible online por unos cientos de euros. Sin embargo, el software personalizado desarrollado por Tomi y Timo es el único que consigue realizar el ataque.
“Construir un sistema de control de acceso seguro es muy complicado porque hay muchas cosas a tener en cuenta”, afirmó Timo. “Solo después de entender cómo fue diseñado el sistema por completo fuimos capaces de identificar deficiencias aparentemente inocuas. Con mucha imaginación, combinamos estas deficiencias hasta dar con un método para la creación de llaves maestras.”
Además, durante esta investigación, Tomi y Timo averiguaron que el software de Vision podía ser explotado desde la misma red para acceder a los datos privados de su usuarios.
Tomi y Timo pusieron sus averiguación en conocimiento de Assa Abloy en abril de 2017 y, desde entonces, han trabajado con el equipo de fabricantes R&D para arreglar los fallos. Assa Bloy lanzó una actualización de su software disponible para los hoteles afectados.
“Gracias a la diligencia y disposición de Assa Abloy para dirigir los fallos encontrados, el mundo hotelero es un lugar más seguro hoy día”, dijo Tomi. “Le pedimos a cualquier establecimiento usuario de este software que lo actualice más pronto que tarde.”
Esta pareja no publicará los detalles completos del ataque ni pondrá a disposición ninguna herramienta para llevarlo a cabo. Hasta la fecha, no tienen constancia de ningún otro caso del mismo ataque.
El mundo hotelero es una industria objetivo en el campo de la seguridad de la información. ¿Qué precauciones deberían tomar los viajeros para protegerse contra este tipo de ataques cuando reserven una habitación de hotel?
“Mi recomendación es que sigamos hacienda como hasta ahora”, dijo Timo. “Esto significa que no dejemos nuestros objetos de valor en la habitación y usemos la cadena de la puerta cuando estemos dentro o nos vayamos a dormir. Y si no lo has hecho hasta ahora, es un buen momento para empezar.”
Categorías