Creada una llave ¡®maestra¡¯ que podr¨ªa abrir las habitaciones de millones de hoteles

Seguro que le habr¨¢ sucedido en m¨¢s de una ocasi¨®n: tras su paso por recepci¨®n, en el hotel no han programado correctamente la llave electr¨®nica de tarjeta y no puede acceder a la habitaci¨®n; o bien, en un cambio de planes, decide ampliar la estancia en el hotel pero la cerradura tozudamente deja de funcionar el d¨ªa inicialmente previsto. El mundo de la hosteler¨ªa dio un vuelco fundamental con la llegada de las cerraduras electr¨®nicas: m¨¢s c¨®modas para el cliente y sobre todo, mucho m¨¢s confortables al uso que la llave mec¨¢nica. Ahora bien ?son realmente m¨¢s seguras? Hasta la fecha se hab¨ªa convenido en que s¨ª, pero un grupo de investigadores ha conseguido crear una llave maestra que abrir¨ªa millones de cerraduras en todo el mundo.

El equipo de la firma de seguridad F-Secure capitaneado por Tomi Tuominen ha logrado crear una llave ¨²nica con la que se podr¨ªa acceder a cualquiera de las millones de habitaciones equipadas con la cerradura Vision de VingCard perteneciente al gigante Assa Abloy. Antes de hacer p¨²blico el hallazgo, el equipo de F-Secure se puso en contacto con el fabricante y ambos trabajaron en equipo en buscar una soluci¨®n que ya se habr¨ªa aplicado a los hoteles equipados con la cerradura. Por no lo tanto, no existe en la actualidad el riesgo de que dicha vulnerabilidad pueda ser aprovechada por criminales, pero ello no impide poner en evidencia la potencial debilidad de este tipo de sistemas.

Tuominen y su equipo emplearon un hardware que fue comprado en internet (y que todav¨ªa puede adquirirse), aunque reconocen que este equipo, sin el trabajo de desarrollo e investigaci¨®n, no sirve para nada. Y no es poco: ¡°La investigaci¨®n arranc¨® en 2003¡±, confiesa a EL PA?S Tuominen. ¡°?nicamente cuando comprendimos c¨®mo fue dise?ada la cerradura Vision fuimos capaces de identificar los puntos d¨¦biles¡±. La nota de prensa de la firma habla abiertamente de ¡°fallos de seguridad¡± en el producto del mayor fabricante de cerraduras del mundo. Y es que para conseguir enga?ar al sistema basta con recuperar una llave usada por cualquier cliente del hotel, hasta la del garaje servir¨ªa; con la informaci¨®n registrada en estas llaves, los investigadores han logrado crear sin mayores problemas una llave maestra con privilegios absolutos: lo abre todo.

Para conseguir enga?ar al sistema basta con recuperar una llave usada por cualquier cliente del hotel, hasta la del garaje servir¨ªa

Los creadores de esta llave confiesan que todo surgi¨® hace unos diez a?os, cuando, precisamente en un congreso sobre seguridad, el port¨¢til de uno de los empleados de F-Secure fue sustra¨ªdo de su habitaci¨®n. La direcci¨®n del hotel rehus¨® asumir responsabilidades puesto que la cerradura -VingCard, claro- no hab¨ªa registrado ninguna entrada fraudulenta; por aquel entonces la fe en el sistema era ciega. Fue ah¨ª cuando la firma de seguridad centr¨® su atenci¨®n en este tipo de cerraduras, y tras una d¨¦cada de trabajo intenso, se cobr¨® su particular?venganza: las cerraduras no solo no son seguras, sino que pueden crearse llaves maestras.

El trabajo a partir de ese punto se centr¨® en crear una llave que permitiera acceder a la habitaci¨®n ¡°sin dejar rastro¡±, como confiesa Tuominen, y lo lograron cuando por fin comprendieron el funcionamiento de las Vision del fabricante. ¡°Nos llev¨® mucho tiempo y esfuerzo¡±, reconoce a este peri¨®dico el responsable del equipo, ¡°hasta que por fin dimos con un software que acompa?aba al hard y que logr¨® que el ataque fuera posible¡±. F-Secure ha trabajado durante un a?o en encontrar una soluci¨®n con VingCard que fuera escalable a todos los establecimientos hoteleros del mundo equipados con esta cerradura y ambas firmas confirman que se ha subsanado el error. ?Es posible que algo as¨ª pueda volver a suceder en otro tipo de cerraduras electr¨®nicas? Tuominen lo niega: ¡°el problema afecta ¨²nicamente a las cerraduras Vision de VingCard".