Una brecha de seguridad permitía a los cibermalos desbloquear millones de puertas de hoteles

La vulnerabilidad también afectó a hogares de todo el mundo que tengan cerraduras electrónicas de Saflok.

Alberto Payo

Periodista

Guardar

Hackeo de cerraduras inteligentes de habitaciones de hotel (Imagen generada por IA)
Hackeo de cerraduras inteligentes de habitaciones de hotel (Imagen generada por IA)

Los ciberdelincuentes no solo pueden colarse en tu móvil, en tu ordenador o en tu cuenta del banco, sino que también pueden abrir la puerta de tu casa. Literalmente. 

Investigadores de seguridad han encontrado vulnerabilidades que afectan nada menos que a 3 millones de cerraduras eléctrónicas RFID de la marca Saflok, las cuales estarían instaladas en 13.000 hoteles y hogares de todo el mundo.

El problema fue hallado por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell y Will Caruana en septiembre de 2022. Los expertos han denominado a esta serie de fallas de seguridad 'Unsaflok'.

Unsaflok  es una serie de vulnerabilidades que, cuando se encadenan, permiten a un actor de amenazas desbloquear cualquier habitación de una propiedad utilizando un par de tarjetas de acceso falsificadas.

Para iniciar la explotación, el atacante sólo necesita leer una tarjeta de acceso de la propiedad, que puede ser la tarjeta de acceso de su propia habitación.

¿Cómo se descubrió la brecha? A través de un evento de piratería privado en Las Vegas, en el que distintos equipos competían para encontrar vulnerabilidades en una habitación de hotel y en todos los dispositivos que alberga en su interior. 

Los investigadores pusieron su foco en la cerradura electrónica de Saflok existente en cada habitación, encontrando fallos de seguridad que facilitaban la apertura de cualquier puerta dentro del hotel. 

Un agujero de casi 40 años

El fabricante Dormakaba, propietario de Saflok, fue informado del agujero de seguridad a finales de 2022 y pudo trabajar en mitigaciones y en informar a los hoteles sobre el riesgo, pero sin que el tema se hiciera público. 

El problema es que la brecha de seguridad encontrada habría permanecido 'abierta' por un tiempo muy prolongado: nada menos que 36 años. Aunque no se ha tenido constancia de casos de explotación, el dilatado tiempo de exposición lleva a pensar que en algún momento cibermalos han podido campar a sus anchas".

"Si bien no conocemos ningún ataque en el mundo real que utilice estas vulnerabilidades, no es imposible que otras personas las conozcan y las hayan utilizado", explica el equipo de investigadores de Unsaflok en un comunicado.