Expertos forjan una llave maestra para los hoteles
Un equipo de investigadores ‘hackea’ la cerradura electrónica Vingcard ❚ Esta operación les ha llevado más de una década
Seguro que le habrá sucedido en más de una ocasión: tras su paso por recepción, en el hotel no han programado correctamente la llave electrónica de tarjeta y no puede acceder a la habitación; o bien, en un cambio de planes, decide ampliar la estancia en el hotel, pero la cerradura tozudamente deja de funcionar el día inicialmente previsto. El mundo de la hostelería dio un vuelco fundamental con la llegada de las cerraduras electrónicas: más cómodas para el cliente y, sobre todo, mucho más confortables al uso que la llave mecánica. Ahora bien, ¿son realmente más seguras? Hasta la fecha se había convenido en que sí.
LA FRASE Dimos con un software que acompañaba al hard y que logró que el ataque fuera posible. TOMI TUOMINEN, jefe de equipo en la firma F-secure
Sin embargo, el equipo de la firma de seguridad F-secure, capitaneado por Tomi Tuominen, logró crear una llave única con la que se podría acceder a cualquiera de las millones de habitaciones equipadas con la cerradura Vision de Vingcard, perteneciente al gigante Assa Abloy. Antes de hacer público el hallazgo, el equipo de F-secure contactó con el fabricante y ambos trabajaron en equipo en buscar una solución que ya se habría aplicado a los hoteles equipados con la cerradura. Por lo tanto, no existe en la actualidad el riesgo de que dicha vulnerabilidad pueda ser aprovechada por criminales, pero ello no impide poner en evidencia la potencial debilidad de este tipo de sistemas.
Tuominen y su equipo emplearon un hardware que fue comprado en internet (y que todavía puede adquirirse), aunque reconocen que este equipo, sin el trabajo de desarrollo e investigación, no sirve para nada. Y no es poco: “La investigación arrancó en 2003”, confiesa a El País Tuominen. “Únicamente cuando comprendimos cómo fue diseñada la cerradura Vision fuimos capaces de identificar los puntos débiles”. La nota de prensa de la firma habla abiertamente de “fallos de seguridad” en el producto del mayor fabricante de cerraduras del mundo. Y es que para conseguir engañar al sistema basta con recuperar una llave usada por cualquier cliente del hotel, hasta la del garaje serviría; con la información registrada en estas llaves, los investigadores han logrado crear sin mayores problemas una llave maestra con privilegios absolutos: lo abre todo.
Los creadores de esta llave confiesan que todo surgió hace unos diez años, cuando, precisamente en un congreso sobre seguridad, el portátil de uno de los empleados de F-secure fue sustraído de su habitación. La dirección del hotel rehusó asumir responsabilidades puesto que la cerradura -Vingcard, claro- no había registrado ninguna entrada fraudulenta; por aquel entonces la fe en el sistema era ciega. Fue ahí cuando la firma centró su atención en este tipo de cerraduras, y tras una década de trabajo intenso, se cobró su particular venganza.
EL DATO Apoyo. F–secure trabajó con el fabricante de los cerrojos en busca de una solución, que ya se habría aplicado en los hoteles.