Creada una llave ‘maestra’ que podría abrir las habitaciones de millones de hoteles

Seguro que le habrá sucedido en más de una ocasión: tras su paso por recepción, en el hotel no han programado correctamente la llave electrónica de tarjeta y no puede acceder a la habitación; o bien, en un cambio de planes, decide ampliar la estancia en el hotel pero la cerradura tozudamente deja de funcionar el día inicialmente previsto. El mundo de la hostelería dio un vuelco fundamental con la llegada de las cerraduras electrónicas: más cómodas para el cliente y sobre todo, mucho más confortables al uso que la llave mecánica. Ahora bien ¿son realmente más seguras? Hasta la fecha se había convenido en que sí, pero un grupo de investigadores ha conseguido crear una llave maestra que abriría millones de cerraduras en todo el mundo.

El equipo de la firma de seguridad F-Secure capitaneado por Tomi Tuominen ha logrado crear una llave única con la que se podría acceder a cualquiera de las millones de habitaciones equipadas con la cerradura Vision de VingCard perteneciente al gigante Assa Abloy. Antes de hacer público el hallazgo, el equipo de F-Secure se puso en contacto con el fabricante y ambos trabajaron en equipo en buscar una solución que ya se habría aplicado a los hoteles equipados con la cerradura. Por no lo tanto, no existe en la actualidad el riesgo de que dicha vulnerabilidad pueda ser aprovechada por criminales, pero ello no impide poner en evidencia la potencial debilidad de este tipo de sistemas.

Tuominen y su equipo emplearon un hardware que fue comprado en internet (y que todavía puede adquirirse), aunque reconocen que este equipo, sin el trabajo de desarrollo e investigación, no sirve para nada. Y no es poco: “La investigación arrancó en 2003”, confiesa a EL PAÍS Tuominen. “Únicamente cuando comprendimos cómo fue diseñada la cerradura Vision fuimos capaces de identificar los puntos débiles”. La nota de prensa de la firma habla abiertamente de “fallos de seguridad” en el producto del mayor fabricante de cerraduras del mundo. Y es que para conseguir engañar al sistema basta con recuperar una llave usada por cualquier cliente del hotel, hasta la del garaje serviría; con la información registrada en estas llaves, los investigadores han logrado crear sin mayores problemas una llave maestra con privilegios absolutos: lo abre todo.

Para conseguir engañar al sistema basta con recuperar una llave usada por cualquier cliente del hotel, hasta la del garaje serviría

Los creadores de esta llave confiesan que todo surgió hace unos diez años, cuando, precisamente en un congreso sobre seguridad, el portátil de uno de los empleados de F-Secure fue sustraído de su habitación. La dirección del hotel rehusó asumir responsabilidades puesto que la cerradura -VingCard, claro- no había registrado ninguna entrada fraudulenta; por aquel entonces la fe en el sistema era ciega. Fue ahí cuando la firma de seguridad centró su atención en este tipo de cerraduras, y tras una década de trabajo intenso, se cobró su particular venganza: las cerraduras no solo no son seguras, sino que pueden crearse llaves maestras.

El trabajo a partir de ese punto se centró en crear una llave que permitiera acceder a la habitación “sin dejar rastro”, como confiesa Tuominen, y lo lograron cuando por fin comprendieron el funcionamiento de las Vision del fabricante. “Nos llevó mucho tiempo y esfuerzo”, reconoce a este periódico el responsable del equipo, “hasta que por fin dimos con un software que acompañaba al hard y que logró que el ataque fuera posible”. F-Secure ha trabajado durante un año en encontrar una solución con VingCard que fuera escalable a todos los establecimientos hoteleros del mundo equipados con esta cerradura y ambas firmas confirman que se ha subsanado el error. ¿Es posible que algo así pueda volver a suceder en otro tipo de cerraduras electrónicas? Tuominen lo niega: “el problema afecta únicamente a las cerraduras Vision de VingCard".