Photo: Getty

Un ingeniero de Google descubri√≥ una vulnerabilidad en el sistema que controla el acceso a las puertas del campus de la compa√Ī√≠a en Sunnyvale, California, y aprovech√≥ la oportunidad para demostrar que pod√≠a pasar por alto cualquier cerradura controlada por tarjetas RFID de sus instalaciones.

Seg√ļn Forbes, David Tomaschik descubri√≥ que los dispositivos de la empresa Software House conectados a la red de Google usaban una clave de cifrado fija e insegura y lanz√≥ un ataque para probar las consecuencias:

El verano pasado, cuando Tomaschik miró los mensajes cifrados que los dispositivos de Software House (llamados iStar Ultra e IP-ACM) enviaban a través de la red de Google, descubrió que no eran aleatorios; los mensajes cifrados siempre deben parecer aleatorios para ofrecer una protección correcta. Estaba intrigado y al indagar en profundidad descubrió que todos los dispositivos de Software House utilizaban una clave de cifrado fija. Esto significaba que podía replicar la clave y forjar comandos, como los que desbloquean la puerta. O simplemente podía reproducir comandos de desbloqueo legítimos, consiguiendo el mismo efecto.

Advertisement

Tomaschik también usó el conocimiento de la vulnerabilidad para impedir el acceso de otros empleados de Google a partes del edificio. Lo peor de todo es que podía hacer todo esto sin dejar rastro:

Tomaschik tambi√©n descubri√≥ que pod√≠a hacer todo esto sin dejar ning√ļn registro de sus acciones y pod√≠a evitar que empleados leg√≠timos de Google abrieran puertas. ‚ÄúUna vez que hall√© el problema, se convirti√≥ en una prioridad. Era bastante grave‚ÄĚ, dijo a Forbes. Google se movi√≥ r√°pidamente para evitar ataques en sus oficinas, seg√ļn Tomaschik.

Google dijo a Forbes que no ten√≠a pruebas de que un hacker malicioso hubiera explotado la vulnerabilidad antes de que fuera descubierta por Tomaschik. El dise√Īo de los dispositivos de Software House se ha actualizado para aumentar su seguridad, aunque los dispositivos originales no pueden actualizarse de ninguna forma, salvo reemplazando el hardware, debido a restricciones de memoria.

Advertisement

Es f√°cil ver por qu√© este es un problema particularmente grave, no solo por la seguridad del personal de Google. Alphabet, su propietaria, es una de las pocas compa√Ī√≠as de tecnolog√≠a que valen cerca de un bill√≥n de d√≥lares; por lo tanto, sus instalaciones no son exactamente el lugar donde te gustar√≠a tener a alguien husmeando libremente. Como se√Īal√≥ Forbes, a Tomaschik le preocupa que solo haya unos pocos fabricantes de sistemas de seguridad con tarjetas de clave RFID, lo que significa que la vulnerabilidad de Software House probablemente est√© presente en un porcentaje alarmante de los ya instalados en todo el mundo.

[Forbes]