La vulnerabilidad se ha descubierto en un popular sistema de cerraduras electrónicas utilizado por numerosas cadenas hoteleras. A través de esta falla, los atacantes podrían potencialmente manipular el sistema para abrir las cerraduras de las puertas sin necesidad de una llave física. Este tipo de vulnerabilidades destaca la importancia de contar con sistemas de seguridad robustos y actualizados en entornos donde la protección de la privacidad y la seguridad de los usuarios es fundamental. Es crucial que las empresas afectadas parcheen esta falla de seguridad de manera urgente y tomen medidas para proteger la información de sus clientes.
Investigadores de seguridad han descubierto una vulnerabilidad que permite desbloquear fácilmente sistemas de puertas operados con tarjetas llave en numerosas propiedades hoteleras. La falencia se halló en el sistema de puertas Saflok de Dormakaba, una empresa suiza. Según los investigadores, “más de tres millones de cerraduras de hotel en 131 países están afectadas”, notando que la vulnerabilidad ha existido durante los últimos 36 años.
Los expertos en seguridad desvelaron el problema en agosto de 2022 tras asistir a un evento privado en el que fueron invitados a hackear una habitación de hotel en Las Vegas. Posteriormente, comunicaron sus hallazgos a Dormakaba, que comenzó a trabajar en una solución en noviembre de 2023. Sin embargo, la instalación del parche no ha sido sencilla en las propiedades afectadas. Hasta ahora, solo el 36% de las cerraduras afectadas han sido actualizadas o reemplazadas.
Los investigadores indicaron que “todas las cerraduras requieren una actualización de software o deben ser reemplazadas. Además, todas las tarjetas llave deben ser reemitidas, el software del mostrador de recepción y los codificadores de tarjetas deben ser actualizados, y las integraciones con terceros (por ejemplo, elevadores, garajes de estacionamiento y sistemas de pago) pueden requerir actualizaciones adicionales”.
Decidieron hacer pública la vulnerabilidad para que el personal del hotel y los huéspedes estén al tanto de la amenaza. Incluso crearon un sitio web sobre la falla, bautizada como Unsaflok.
Aunque no se han revelado detalles técnicos para evitar que los hackers exploten la vulnerabilidad, esta es relativamente fácil de abusar por parte de un actor malintencionado. “Un atacante solo necesita leer una tarjeta llave de la propiedad para realizar el ataque contra cualquier puerta de la propiedad. Esta tarjeta puede ser de su propia habitación, o incluso una tarjeta expirada tomada de la caja de salida exprés”, escribieron los investigadores.
Además, el hackeo se puede realizar mediante dispositivos electrónicos capaces de leer, escribir y emular tarjetas inteligentes MiFare Classic, incluyendo el uso del Flipper Zero de $169 y cualquier smartphone Android con capacidad NFC.