Hackers desarrollan una llave para abrir cualquier habitación de un hotel

El equipo de investigadores de la firma de seguridad F-Secure descubrió cómo crear una llave maestra que permite abrir la cerradura electrónica de cualquier habitación en un hotel.

La idea de hackear las habitaciones de un hotel no es nueva, pues surgió en 2003, cuando Tomi Tuominen, investigador de F-Secure, sufrió el robo de su computador en una habitación de un hotel altamente exclusivo. La puerta no fue forzada y el registro de la cerradura eléctrica, un lector de tarjeta RFID, no tenía ningún acceso.

Luego del incidente, Tuominen y su compañero Timo Hirvonen comenzaron a buscar posibles vulnerabilidades en las cerraduras electrónicas de la empresa matriz de VingCard, Assa Abloy, que actualmente es el mayor fabricante de este sistema para los hoteles. Luego de una década de investigación, el equipo ha presentado un sistema que es capaz de crear una llave maestra para invadir cualquier habitación.

Los investigadores utilizaron una herramienta de lectura y escritura de tarjetas RFID Prosmark de 300 dólares. Luego de poner una tarjeta ya usada del hotel en ese dispositivo, el sistema analiza los códigos para identificar el correcto en 20 intentos, lo que no lleva más de 60 segundos. Después, escribe el código en una tarjeta, la cual está lista para acceder a cualquier habitación.

El equipo asegura que el sistema para hackear las cerraduras sólo funciona con el modelo Vision de VingCard, no con la nueva línea de producto de la compañía, llamada VisionLine. Sin embargo, se estima que alrededor de 140.000 hoteles de más de 160 países todavía utilizan la generación anterior de cerraduras electrónicas, por lo que están expuestos a esta vulnerabilidad.

Además, los investigadores dicen que ya avisaron a Assa Abloy de sus hallazgos y la compañía lanzó una actualización de seguridad durante el pasado mes de febrero. No obstante, dado que las cerraduras no cuentan con conexión a internet, el sistema debe ser instalado manualmente puerta por puerta.