Una empresa finlandesa de ciberseguridad ha descubierto una falla en el sistema de cierre digital utilizado en hoteles de todo el mundo que permitiría a los hackers acceder a miles –y posiblemente millones– de cuartos de hotel con una “llave maestra” falsa.
La firma F-Secure reveló que después de “varias miles de horas de trabajo”, sus investigadores diseñaron una llave maestra que podría desbloquear cualquier habitación de hotel que utilice la tecnología de bloqueo digital Vision by VingCard.
Su investigación comenzó cuando, durante una conferencia de seguridad en Berlín en 2003, le robaron una computadora portátil a un amigo del líder de práctica de F-Secure, Tomi Tuominen, informó Wired. Según los informes, el personal del Alexanderplatz Radisson desestimó la denuncia porque no había indicios de entrada forzada ni pruebas de acceso no autorizado. Entonces Tuominen y sus colegas se propusieron resolver la misteriosa brecha.
It all started at a hacker conference a decade ago, and ended up as a master key for hotel rooms all over the world. Here’s how: https://t.co/gvyDaETjli pic.twitter.com/M6gIcZ2xhN
— F-Secure (@FSecure) 25 de abril de 2018
Los investigadores utilizaron la información en una clave electrónica, identificación por radiofrecuencia (RFDI, por sus siglas en inglés) o banda magnética, del hotel seleccionado para crear una llave maestra que podría abrir cualquier habitación del hotel. “Queríamos averiguar si es posible eludir el bloqueo electrónico sin dejar rastro”, dijo el asesor de seguridad Timo Hirvonen en un comunicado.
El descubrimiento de fallas llevó a Assa Abloy, el fabricante de cerraduras más grande del mundo, a lanzar una actualización de software con soluciones de seguridad, dijo F-Secure.
LEE TAMBIÉN: Un ciberataque borra el video de “Despacito”, el más visto en la historia de YouTube
“Puedes imaginar lo que una persona maliciosa podría hacer con el poder de entrar a cualquier habitación de hotel, con una llave maestra creada básicamente de la nada”, dijo Tuominen. “No conocemos a nadie más que realice este ataque en particular ahora mismo”, señaló.
F-Secure notificó a Assa Abloy hace un año y trabajó con el fabricante de cerraduras para implementar arreglos de software en febrero de este año.
I played a small part in the research, by collecting hotel room keycards for Tomi & Timo to hack. pic.twitter.com/zUtveTBrMT
— Mikko Hypponen (@mikko) 25 de abril de 2018
Christophe Sut, vicepresidente ejecutivo y jefe de hospitalidad de Assa Abloy, le dijo a Wired UK que Vision by VingCard es un sistema bastante antiguo que se desarrolló hace 20 años. El truco que F-Secure utilizó no se aplica a las versiones más actualizadas de la compañía.
“No es el sistema que promocionamos más o en el que construimos nuestra tecnología [pero] el desafío que tenemos es que no sabemos necesariamente si esos sistemas todavía están en funcionamiento”, dijo Sut a Wired UK. Assa Abloy no respondió de inmediato a la solicitud de comentario de Newsweek.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
