Recientemente, se ha desvelado una información que sacude los cimientos de la seguridad hotelera a nivel mundial. Un equipo de investigadores de seguridad, tras una meticulosa investigación, ha descubierto una técnica que permite desbloquear cualquier cerradura Saflok de hoteles en cuestión de segundos. Este hallazgo plantea preocupaciones inmediatas sobre la privacidad y seguridad de los huéspedes, por lo que hay trabajo pendiente para volver a recuperar la seguridad.
El inicio de todo: Un concurso hacker en Las Vegas
Todo comenzó en un evento privado en 2022, donde investigadores fueron invitados a encontrar vulnerabilidades en la tecnología de un hotel de Las Vegas. Este contexto, lleno de energía y desafío intelectual, fue el trampolín para que un equipo de hackers se concentrara en la cerradura de la puerta de la habitación, un elemento crítico para la seguridad de cualquier huésped.
Ian Carroll, Lennert Wouters y su equipo bautizaron su hallazgo como Unsaflok, una vulnerabilidad que afecta a los sistemas de cerradura basados en tarjetas RFID de Saflok, una marca de la compañía suiza Dormakaba. Estos sistemas están presentes en 3 millones de puertas a lo largo de 131 países, lo que subraya la magnitud del problema. El método de ataque involucra la manipulación de una tarjeta clave de cualquier hotel afectado, que luego permite abrir cualquier puerta en segundos.
La técnica detrás del hackeo
El proceso inicia con la adquisición de una tarjeta clave, seguido por la lectura de un código específico mediante un dispositivo RFID de 300 euros. Después, los investigadores escriben dos tarjetas clave por su cuenta, las cuales al ser usadas consecutivamente en la cerradura, logran desbloquear la puerta. Esta vulnerabilidad radica tanto en la encriptación de Dormakaba como en el sistema RFID MIFARE Classic empleado.
Ante este descubrimiento, Dormakaba ha estado trabajando para informar y asistir a los hoteles en la actualización o reemplazo de las cerraduras vulnerables. Afortunadamente, muchas de las cerraduras de los últimos ocho años no requieren un cambio de hardware, sino una actualización del sistema de gestión de la recepción y una reprogramación de cada cerradura. No obstante, el proceso de implementación de estas soluciones está lejos de completarse, con solo el 36% de las cerraduras actualizadas hasta el momento.
Las implicaciones para la seguridad hotelera
Este incidente resalta una vez más la delicada línea que existe entre la adopción de tecnologías de seguridad avanzadas y la habilidad de los hackers para encontrar y explotar sus debilidades. Mientras que los hoteles y fabricantes de cerraduras trabajan en solucionar estos problemas, los huéspedes deben ser conscientes de los riesgos y tomar medidas adicionales para proteger su privacidad y seguridad. Lo primero que yo haría es preguntar el tema antes de hacer la reserva.
Tenéis más información sobre el tema en Wired.