Ingeniero es multado por hackear hotel

Mientras asistía a una conferencia de ciberseguridad en Singapur, un ciudadano chino decidió hackear el WiFi de su hotel

Zheng Dutao, un ingeniero de seguridad de 23 años de la empresa china de internet Tencent Holdings, sintió curiosidad por encontrar vulnerabilidades en el servidor WiFi de una sucursal del Hotel Fragrance, en Singapur. Acorde a especialistas en hacking ético, Zheng hackeó con éxito el servidor del hotel y escribió un artículo en su blog acerca del incidente, publicación en la que reveló las contraseñas del servidor del administrador del hotel. Este blog terminó por llamar la atención de la Agencia de Seguridad Cibernética de Singapur (CSA).

Zheng llegó a Singapur el mes pasado para participar en una competencia de “Capturar la bandera”, llevada a cabo junto con una conferencia de ciberseguridad y hacking ético en el Hotel Intercontinental. La competencia contó con cientos de especialistas en ciberseguridad enfrentándose en diferentes pruebas de hacking.

Zheng se registró en el Hotel Fragrance el 27 de agosto. Un día después, comenzó a preguntarse por las posibles vulnerabilidades en el servidor WiFi del hotel. Buscó con éxito la identificación de usuario y la contraseña predeterminadas del sistema WiFi del hotel a través de Google.

Después de conectarse a la puerta de enlace WiFi del hotel, Zheng ejecutó secuencias de comandos, archivos descifrados y contraseñas rotas en los siguientes tres días antes de acceder a la base de datos del servidor WiFi del hotel. El servidor del hotel tenía una vulnerabilidad que Zheng explotó para obtener acceso, también intentó acceder al servidor WiFi de la sucursal de Fragrance en el barrio conocido como Little India, pero falló. El ingeniero documentó su hallazgo en su blog personal.

“Al divulgar esta información, Zheng sabía que era probable que la vulnerabilidad en el servidor WiFi del hotel fuera explotada por otros con fines ilícitos, lo que podría causar pérdidas para la organización”, dijo el fiscal de la ciudad. Zheng había estado publicando en su blog sobre vulnerabilidades en servidores desde 2014, dijo la fiscalía, aunque este incidente es la primera vez que descubre una vulnerabilidad él mismo.

La CSA encontró su blog y alertó a la gerencia del hotel. Zheng eliminó la entrada del blog después de que se lo pidieron. El vicepresidente de TI de la empresa presentó un informe policial por hacking contra el Hotel Fragrance.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, la defensa alegó que Zheng parecía haber cometido la ofensa por curiosidad y que no se había causado ningún daño tangible. Sin embargo, las autoridades descubrieron que la publicación fue retomada por distintos foros.

Según la fiscalía, dado que otros hoteles utilizan el mismo modelo de servidor, las acciones de Zheng podrían haber llevado a otros hoteles a ser víctimas de ataques cibernéticos gracias a la publicación de Zheng.

Por el delito de revelar las contraseñas del hotel sin autorización, Zheng podría haber sido encarcelado por hasta tres años y haber recibido una multa de hasta 10 mil dólares, aunque la defensa espera que pague sólo 5 mil, pues ya ha pasado algunos días encerrado.