30/04/2018Artículo original
Muy atrás han quedado aquellos tiempos en los que, cuando ibas a un hotel, te daban una de llave gigante con un llavero aún mayor para evitar que te la llevases al salir a la calle y forzarte a dejarla en recepción. Hoy en día es rarísimo encontrarse con una llave física en un hotel. Lo que siempre nos dan es una especie de tarjeta de crédito que lleva un código único para entrar en tu habitación de manera segura.
En las películas cualquier adolescente espabilado cuenta con alguna maravillosa interfaz para enganchar a estas puertas y al móvil y poder abrir en segundos este tipo de cerraduras digitales. Pero eso en la realidad no pasa… ¿O quizá sí?
El mayor fabricante del mundo de este tipo de cerraduras es la multinacional sueca-finlandesa Assa Abloy. Seguro que no te suena, pero tiene casi 50.000 empleados, factura más de 7.000 millones de euros al año y cotiza en bolsa. Sus cerraduras se encuentran en millones de puertas de decenas de miles de hoteles en todo el mundo. Si has estado en un hotel casi seguro que has usado una de sus cerraduras.
Este mes un grupo de investigación dentro de la conocida empresa (paradójicamente) finlandesa F-Secure han revelado el resultado de una década de investigación: y es que han descubierto una manera de desbloquear cualquiera de las puertas del fabricante.
Para lograrlo un atacante lo primero que necesita es conseguir una tarjeta cualquiera utilizada en las mismas instalaciones que quiere hackear. No tiene por qué ser la tarjeta de una habitación: vale la de un almacén, de un garaje o de cualquier sitio del mismo edificio protegido por las cerraduras de la marca. De hecho no tiene ni por qué ser una tarjeta activa. Una caducada sirve también, lo cual lo convierte en algo más grave todavía.
El atacante leerá la llave y usará un pequeño dispositivo de hardware para obtener más claves generadas para la misma instalación. Estas claves derivadas pueden ser probadas contra cualquier cerradura en el mismo edificio y en cuestión de minutos el dispositivo es capaz de generar una llave maestra para la instalación. El dispositivo puede utilizarse en lugar de una llave para saltarse cualquier cerradura de la misma instalación o, incluso, para sobrescribir una clave existente con la clave maestra recién creada.
Los investigadores avisaron a Assa ABloy hace justo un año, en abril de 2017, y han trabajado con ellos desde entonces para solucionar los agujeros de seguridad y generar un parche que han enviado a sus clientes para actualizar sus cerraduras y dejarlas protegidas. Puede que muchos todavía no hayan aplicado este parche o que no lo lleguen a aplicar nunca. Y no tienes forma de saberlo…
Es evidente que un ataque como este no es nada trivial y no será fácil dar con alguien que lo use para entrar en nuestra habitación, pero la propia recomendación de los investigadores de F-Secure es: “Que sigas haciendo lo mismo que ya deberías estar haciendo ahora: no dejar pertenencias valiosas en la habitación, y echar la cadena cuando estés dentro de la habitación y cuando te vayas a dormir. Si no hacías esto antes, es hora de que empieces a tomar nota”.
Además de esto no olvides usar una tarjeta de crédito y no de débito cuando pagues en tus viajes, y si te conectas a la red Wifi del hotel utiliza una VPN y no navegues directamente.
Inseguridades de un mundo dependiente de la tecnología. Pero una cerradura convencional también es muy fácil de reventar ¿o no? ?
Post original de F-Secure
[youtube:xmWEWEVMfVk]