GAMBADAS: Crean una “llave maestra” que abre millones de habitaciones de hotel

30/04/2018Artículo original

Muy atrás han quedado aquellos tiempos en los que, cuando ibas a un hotel, te daban una de llave gigante con un llavero aún mayor para evitar que te la llevases al salir a la calle y forzarte a dejarla en recepción. Hoy en día es rarísimo encontrarse con una llave física en un hotel. Lo que siempre nos dan es una especie de tarjeta de crédito que lleva un código único para entrar en tu habitación de manera segura.

En las películas cualquier adolescente espabilado cuenta con alguna maravillosa interfaz para enganchar a estas puertas y al móvil y poder abrir en segundos este tipo de cerraduras digitales. Pero eso en la realidad no pasa… ¿O quizá sí?

El mayor fabricante del mundo de este tipo de cerraduras es la multinacional sueca-finlandesa Assa Abloy. Seguro que no te suena, pero tiene casi 50.000 empleados, factura más de 7.000 millones de euros al año y cotiza en bolsa. Sus cerraduras se encuentran en millones de puertas de decenas de miles de hoteles en todo el mundo. Si has estado en un hotel casi seguro que has usado una de sus cerraduras.

  Así puedes usar 'Mathematica' gratis y legalmente en tu PC… con la ayuda de una Raspberry Pi

Este mes un grupo de investigación dentro de la conocida empresa (paradójicamente) finlandesa F-Secure han revelado el resultado de una década de investigación: y es que han descubierto una manera de desbloquear cualquiera de las puertas del fabricante.

Para lograrlo un atacante lo primero que necesita es conseguir una tarjeta cualquiera utilizada en las mismas instalaciones que quiere hackear. No tiene por qué ser la tarjeta de una habitación: vale la de un almacén, de un garaje o de cualquier sitio del mismo edificio protegido por las cerraduras de la marca. De hecho no tiene ni por qué ser una tarjeta activa. Una caducada sirve también, lo cual lo convierte en algo más grave todavía.

El atacante leerá la llave y usará un pequeño dispositivo de hardware para obtener más claves generadas para la misma instalación. Estas claves derivadas pueden ser probadas contra cualquier cerradura en el mismo edificio y en cuestión de minutos el dispositivo es capaz de generar una llave maestra para la instalación. El dispositivo puede utilizarse en lugar de una llave para saltarse cualquier cerradura de la misma instalación o, incluso, para sobrescribir una clave existente con la clave maestra recién creada.

  Creación de aplicaciones WPF con Xamarin.Forms

Los investigadores avisaron a Assa ABloy hace justo un año, en abril de 2017, y han trabajado con ellos desde entonces para solucionar los agujeros de seguridad y generar un parche que han enviado a sus clientes para actualizar sus cerraduras y dejarlas protegidas. Puede que muchos todavía no hayan aplicado este parche o que no lo lleguen a aplicar nunca. Y no tienes forma de saberlo…

Es evidente que un ataque como este no es nada trivial y no será fácil dar con alguien que lo use para entrar en nuestra habitación, pero la propia recomendación de los investigadores de F-Secure es: “Que sigas haciendo lo mismo que ya deberías estar haciendo ahora: no dejar pertenencias valiosas en la habitación, y echar la cadena cuando estés dentro de la habitación y cuando te vayas a dormir. Si no hacías esto antes, es hora de que empieces a tomar nota”.

  30 cursos gratis que puedes comenzar en noviembre para aprender una nueva habilidad este otoño

Además de esto no olvides usar una tarjeta de crédito y no de débito cuando pagues en tus viajes, y si te conectas a la red Wifi del hotel utiliza una VPN y no navegues directamente.

Inseguridades de un mundo dependiente de la tecnología. Pero una cerradura convencional también es muy fácil de reventar ¿o no? ?

Post original de F-Secure

[youtube:xmWEWEVMfVk]

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad