Crean una llave maestra para entrar en cualquier habitación de hotel
En los hoteles, y especialmente los que corresponden a una cadena hotelera, o los de gama alta, cada vez es más habitual encontrar cerraduras electrónicas. Las tarjetas electrónicas que se utilizan son más económicas, son desechables, y además son más versátiles, porque se pueden ‘configurar’ para abrir una u otra puerta, desde el sistema informático del propio hotel. La mayoría de estos sistemas utilizan RFID, y han encontrado una vulnerabilidad en esta tecnología.
El mayor fabricante de esta tecnología, a nivel mundial, es Assa Abloy. A raíz de un robo sufrido por un empleado de F-Secure, esta compañía ha estado buscando qué pudo ocurrir, y han destapado esta vulnerabilidad en el sistema de seguridad que se utiliza para las cerraduras electrónicas de gran cantidad de hoteles. Esta vulnerabilidad se ha denominado Vision, y habría sido desarrollada por VingCard. El problema de seguridad permite acceder a una habitación de manera ‘silenciosa’. Básicamente, se puede crear una llave maestra para acceder a cualquiera de estas habitaciones.
Solo se necesita un ‘hardware especializado’, muy económico, que permite crear una ‘llave maestra’ para acceder a las habitaciones de hoteles
Se utiliza un hardware que cuesta ‘apenas unos cientos de euros’, según han comentado, y un software personalizado que sirve para analizar la clave principal del sistema de cerraduras electrónicas. Con este sistema se encuentra la clave maestra que sirve para abrir cualquiera de las cerraduras. Y este sistema puede funcionar no solo sobre bandas magnéticas convencionales, sino también en las tarjetas RFID más sofisticadas de hoteles que cuentan con tecnologías más seguras. El problema se descubrió hace tiempo ya, aproximadamente hace un año, y no se destapó para dar al fabricante la posibilidad de resolver la vulnerabilidad.
Según explican en el análisis, la vulnerabilidad ha sido abordada y a los hoteles afectados se les ha emitido la información correspondiente para eliminar el fallo de seguridad. La responsabilidad ahora es de los establecimientos que utilizan la tecnología de Assa Abloy, que tienen que aplicar una actualización de software. Desde F-Secure han indicado que Assa Abloy en todo momento ha colaborado con la investigación y ha favorecido que la solución se encuentre lo más rápido posible. Evidentemente, no se han descrito las particularidades del fallo.
Via: www.adslzone.net