F-Secure investiga: Llaves maestras de hoteles creadas de la nada
Según investigadores del sector, las llaves de los hoteles usadas en las grandes cadenas hoteleras en todo el mundo pueden ser hackeadas para poder así acceder a cualquiera de las habitaciones de todo el edificio.
Helsinki, Finlandia – 25 de abril de 2018: Los expertos de F-Secure han descubierto que la cadenas hoteleras que operan a nivel global utilizan un sistema de cerraduras electrónico que podría ser atacado por un ciberdelincuente para acceder a las habitaciones del complejo. El fallo de diseño descubierto en el software del sistema de cerraduras, conocido como Vision by VingCard y que se usa en las puertas de acceso a millones de habitaciones de hotel de todo el mundo, ha obligado al mayor fabricante de cerraduras del mundo, Assa Abloy, a afrontar actualizaciones en su software con las medidas de seguridad necesarias para mitigar el daño.
La investigación de nuestros expertos incluye el uso de cualquier llave electrónica que afecte al edificio, incluso las que ya han expirado, las desechadas o aquellas usadas para acceder a otros espacios como el garaje o almacenes. Al usar la información contenida en la llave, nuestros expertos fueron capaces de crear una llave maestra, con que posibilite el acceso a todas y cada una de las estancias del hotel. Este ataque puede llevarse a cabo sin que nadie se percate de ello.
“No te puedes ni imaginar lo que una persona con malas intenciones podría hacer con la posibilidad de entrar en cualquiera de las habitaciones con una llave maestra creada de la nada”, dijo Tomi Tuominen, director general en F-Secure de CSS, nuestros Servicios de Ciberseguridad. “No hay nadie más en el sector realizando este tipo de pruebas.”
El interés de los investigadores en hackear las cerraduras de los hoteles surgió hace una década cuando el portátil de un colega fue sustraído de su habitación en el hotel donde se celebraban unas conferencias de seguridad. Cuando los investigadores denunciaron el robo, el personal del hotel obvió la denuncia ya que no había ningún signo de que la puerta hubiera sido forzada ni quedó constancia en los registros de ningún acceso no autorizado en la habitación. Los investigadores decidieron dar un paso más en la investigación del incidente y optaron por elegir como su objetivo a una marca de cerraduras conocida por su calidad y seguridad.
Estos descuidos en seguridad no eran brechas tan obvias. Se necesitó analizar por completo el diseño del sistema para identificar pequeños fallos que, combinados, posibilitaron el ataque. La investigación llevó varios miles de horas en sus ratos libres y con una gran cantidad de pruebas y fallos.
“Queríamos averiguar si era possible saltarse la cerradura electrónica sin dejar un rastro”, dijo Timo Hirvoren, consultor jefe de seguridad en F-Secure. “Crear un sistema de control de acceso seguro es muy difícil porque necesitas cumplir muchos requisitos para hacerlo bien. Solo después de entender a fondo cómo estaba diseñado fuimos capaces de identificar lo que parecían deficiencias inocuas. Le echamos imaginación y combinamos estas deficiencias hasta conseguir un método para crear las llaves maestras.”
F-Secure puso en conocimiento de Assa Abloy los hallazgos realizados y ha colaborado con el fabricante de cerraduras durante el pasado año para solucionar los fallos de su software. Las propiedades afectadas tuvieron las actualizaciones necesarias para corregir el error.
“Me gustaría agradecer personalmente al equipo de Assa Abloy R&D por su excelente cooperación en la rectificación de estos fallos”, afirmó Tuominen. “Gracias a su diligencia y disposición para solucionar los problemas identificados en nuestra investigación, el mundo hotelero es ahora mucho más seguro. Y pedimos que, cualquier establecimiento que utilice este software, aplique estas mejoras cuanto antes.”
Exención de responsabilidad: Ninguna llave electrónica de hotel fue dañada en el transcurso de esta investigación. Las herramientas utilizadas en ella no están disponibles.
Categorías