Demostración de la evidencia.
Cualquier dispositivo electrónico puede ser vulnerado. Ya le podéis dar las vueltas que queráis, pero es una evidencia. Eso deberá pensar los de F-Secure ya que han ideado una “tarjeta maestra” capaz de abrir más de 42 mil hoteles de todo el mundo. El dispositivo en cuestión dicen que es capaz de extraer los datos de las tarjetas de acceso de los hoteles y crear una tarjeta maestra que daría acceso a esas habitaciones. Al parecer lo que hace este dispositivo es aprovechar un fallo en el diseño del sistema de las cerraduras electrónicas y permite crear esa tarjeta maestra con una simple tarjeta de hotel, sin importar que esté activa, que a mi modo de ver es lo más grave. Vamos a darle unas cuantas vueltas más en este artículo en directo.
42 mil hoteles afectados.
Esta vulnerabilidad ocurre en las cerraduras electrónicas Vision by VingCard, propiedad de la compañía Assa Abloy que está presente en 42 mil hoteles de 166 países. Está claro que el sistema de
tarjetas en los hoteles es el mecanismo de seguridad y comodidad por excelencia. Limitar, controlar y registrar cualquier movimiento es muy cómodo mediante este método. Pero como es evidente, todo sistema electrónico es vulnerable, y F-Secure lo ha demostrado. Concretamente los encargados del tema son Tomi Tuominen y Timo Hirvonen, y si alguien piensa que es algo sencillo…, nada más lejos de la realidad. Para conseguirlo han empleado diez años, casi nada. La hazaña es importante, pero que no cunda el pánico, no va a ser un tema preocupante para los hoteles.
Toque de atención más allá de problemas de seguridad.
Que no vaya a cundir el pánico ahora con el tema de las tarjetas maestras. Esto ha sido desarrollado por una empresa de seguridad, que no tiene como objetivo hacer y comercializar las tarjetas. Es más, la empresa busca repercusión y que se cambien los protocolos o sistemas de seguridad. Es el objetivo de este tipo de inventos. Pero claro está. De igual manera que ellos lo han desarrollado (y no han tardado poco), ahora se abre la veda para que otros lo hagan. Y como ya tienen el “modelo de referencia”…, pues ahora quizás es más sencillo. Se sabe que en 2017 ya consiguieron que el sistema funcionase y se iniciaron trabajos entre ambas compañías (F-Secure y los hoteles Assa Abloy) para solucionar el problema. Este tipo de casos donde se descubren vulnerabilidades suele funcionar así. Se notifica internamente el problema, se trabaja en común (con remuneraciones de por medio), y se da un plazo para airear la noticia.
La tarjeta de F-Secure y el trabajo realizado.
Que alguien pueda invertir diez años en un proyecto como este es cuanto menos curioso. Y más si tenemos en cuenta que son diez años para que nadie pueda usarlo. Es decir, es conseguir descubrir una vulnerabilidad, ponerla en conocimiento de la empresa, y que se busque la solución. Dar la noticia cuando ya se ha solucionado para que nadie pueda liarla. Eso es mucho tiempo y sobre todo, mucho dinero invertido. Con lo cual, pese a que nunca se hablan de cifras, es evidente que existen cifras, y que no deben ser precisamente bajas. No me creo que una empresa le dedique tantos años a un proyecto sin sacar una buena remuneración por ello.
Y claro está, de igual manera que ellos han pensado en eso y lo han llevado a cabo…, a saber si otra mente privilegiada lleva años haciendo lo mismo, algo que los desarrolladores del proyecto han comentado que actualmente nadie hace. Faltaría ver hasta qué punto es realmente así. Por concluir, decir que la solución ya la han encontrado, pero el problema es que se debe actualizar cada cerradura de manera individual, con lo cual, los responsables de los hoteles con esas cerraduras son los que deben dar el paso.
