Hackers explotan vulnerabilidad para crear llaves maestras de hoteles

Share this…

Recientemente, se ha descubierto que millones de cerraduras electrónicas instaladas en habitaciones de hoteles en todo el mundo son vulnerables a un ataque. Los investigadores de seguridad informática dicen que las fallas que encontraron en el software del equipo significaron que podían crear “llaves maestras” que abrían las habitaciones sin dejar un registro de actividad.

El equipo de F-Secure dijo que había trabajado con el fabricante de cerraduras durante el año pasado para crear una solución. Pero el fabricante sueco está minimizando el riesgo para los hoteles que aún tienen que instalar una actualización. “Vision Software es un producto de 20 años de antigüedad, que se ha visto comprometido después de 12 años y miles de horas de trabajo intensivo por parte de dos empleados en F-Secure”, dijo una portavoz de la empresa, Assa Abloy.

hotel

“Estos bloqueos antiguos representan solo una pequeña fracción [de los que están en uso] y están siendo reemplazados rápidamente por nuevas tecnologías”. Agregó que los hoteles comenzaron a implementar la solución hace dos meses. “Los dispositivos digitales y el software de todo tipo son vulnerables a la piratería. Sin embargo, tomaría un gran equipo de expertos especialistas años para tratar de repetir esto”.

Las cerraduras de Assa Abloy son utilizadas por algunas de las cadenas hoteleras más grandes del mundo, incluyendo Intercontinental, Hyatt, Radisson y Sheraton, aunque no ha revelado qué propiedades aún usan una versión comprometida del sistema Vision by VingCard.

Los investigadores de F-Secure dijeron que comenzaron su investigación después de que la computadora portátil de un colega fuera robada de la habitación de un hotel sin que el ladrón hubiera dejado ninguna señal de acceso no autorizado.

“Queríamos saber si es posible eludir el bloqueo electrónico sin dejar rastro”, explicó Timo Hirvonen, describiendo el exploit de Ghost In The Locks. “Solo después de comprender a fondo cómo se diseñó pudimos identificar fallas aparentemente inocuas y encontrar un método para crear claves maestras”.

Añadió que los datos escaneados de cualquier tarjeta VingCard descartada podrían usarse para montar el ataque, incluso si los privilegios de acceso de la tarjeta habían expirado hacía tiempo o se habían utilizado para abrir un garaje u otras partes del hotel seleccionado en lugar de un dormitorio.

El truco también se puede aplicar para acceder a otras áreas de un hotel, incluido el envío de un ascensor a un piso VIP de una propiedad, si está protegido por el mismo sistema, dijeron expertos en seguridad informática. F-Secure ha confirmado que no compartirá las herramientas de hardware y software que utilizó para demostrar su ataque con otros.