Estudio demuestra que cualquier llave electrónica, incluso una que haya dejado de estar en uso hace tiempo, permite el acceso a cualquier habitación.
25/04/18 | Por Noticias TNE
La firma de investigación de seguridad F-Secure descubrió una vulnerabilidad crítica en las cerraduras electrónicas de Assa Abloy, el fabricante más grande del mundo, dejando aproximadamente a 40 mil hoteles a nivel global potencialmente expuestos.
“El ataque implica el uso de cualquier llave electrónica ordinaria, incluso una caducada, o que hayan descartado”, anunció F-Secure en un comunicado. “Usando la información que ya tiene dentro, los investigadores pudieron crear una llave maestra con privilegios para abrir cualquier habitación en el edificio. El ataque se puede realizar sin que alguien lo note”.
Los investigadores Tomi Tuominen y Timo Hirvonen se interesaron hace una década por conocer si las cerraduras de hoteles podían ser hackeadas cuando la computadora portátil de un colega fue hurtada de su habitación durante una conferencia de seguridad en Berlín. Cuando se informó del robo al hotel, el personal desechó la denuncia debido a que no había una sola señal de entrada forzada ni evidencia de acceso sin autorización en los registros de entrada.
Lo más sorprendente de este descubrimiento es la sencillez con la que puede ser explotada la vulnerabilidad. Solamente se necesita obtener una tarjeta de la propiedad, ni siquiera tiene que ser del cuarto al que se quiere entrar. “Literalmente, cualquier llave es suficiente, ya sea de una habitación, de un armario de almacenamiento o garaje”, agregó la firma. “Incluso una expirada de una estancia hace cinco años funcionará”.
Tuominen y Hirvonen ayudaron a Assa Abbloy a arreglar el software dentro de sus cerraduras para una actualización que se puso a disposición de las cadenas hoteleras en febrero. Hasta el momento, varios establecimientos ya han instalado el parche, pero faltan varias semanas para resolver el problema por completo.
Cualquier riesgo de seguridad de que comience a replicarse este ataque se mantiene bajo debido a que los métodos y herramientas utilizados por los investigadores no serán revelados.
De momento F-Secure no ha encontrado pruebas de que dicha vulnerabilidad haya sido empleada por delincuentes, pero no lo descartan.
Te puede interesar también:
