Tomi Tuominen y Timo Hirvonen, expertos en seguridad que trabajan para F-Secure, han creado una llave maestra capaz de abrir millones de puertas de habitaciones de hotel. Como ambos han explicado, exponiendo el peligro que existe con los sistemas actuales, ‚Äúla creamos b√°sicamente de la nada‚ÄĚ.

El actual sistema de la mayoría de cerraduras electrónicas es el conocido como Vision by VingCard, construido por el fabricante sueco de cerraduras, Assa Abloy, y que se utiliza en más de 42.000 propiedades en 166 países, es decir, en millones de habitaciones, así como garajes y centros de almacenamiento.

Advertisement

Se trata de sistemas comunes en los hoteles, utilizados por el personal para proporcionar controles sobre d√≥nde (qu√© √°reas) puede ir una persona en un hotel, como su habitaci√≥n, e incluso para restringir el piso donde se detiene el ascensor. Llaves que normalmente se pueden ‚Äúlimpiar‚ÄĚ (resetear) y reutilizar cuando los hu√©spedes realizan el check-out.

Si embargo, parece que no son tan seguras. Tuominen y Hirvonen han construido una llave maestra que explota un fallo de dise√Īo en el sistema de cerradura electr√≥nica de hotel m√°s popular, lo cual permite el acceso sin restricciones a todas las habitaciones del edificio.

Advertisement

Adem√°s, tal y como explican, sirve con cualquier tarjeta con claves, incluso las claves antiguas ya caducadas, o descartadas, retienen los suficientes datos para ser utilizados en el ataque.

Usando un dispositivo de mano que ejecuta software personalizado, los investigadores pueden robar datos de una tarjeta clave, ya sea mediante la identificación de radiofrecuencia inalámbrica (RFID) o la banda magnética.

A continuación, ese dispositivo manipula los datos clave robados, que identifican al hotel, para producir un token de acceso con el nivel más alto de privilegios, uno que sirve como llave maestra para cada habitación del edificio.

Advertisement

Un trabajo que les ha llevado m√°s de una d√©cada, y que como han anunciado, solo ellos conocen: ‚ÄúNo sabemos de nadie m√°s que realice este ataque en particular ahora mismo‚ÄĚ, minimizando (y suponiendo que queriendo tranquilizar a los due√Īos de los establecimientos) el riesgo potencial para los clientes. [Zdnet]