Dos vulnerabilidades permiten que cualquiera pueda entrar en la habitación de un hotel

La vida moderna está acabando con el clásico sistema de cierre de las puertas de los hoteles. La llave de toda la vida ha dejado paso a la llave magnética, el sistema que todos los usuarios esperan cuando van a un alojamiento con una mínima calidad. El recepcionista les entrega una tarjeta similar en tamaño a una tarjeta de crédito, en la que previamente han grabado los datos que le darán acceso a su habitación de hotel. Un hacker va a demostrar en vivo y en directo esta misma tarde, hora estadounidense, que este sistema, al que todos nos hemos acostumbrado, es en realidad bastante imperfecto. Manipular esas cerraduras electrónicas no tiene mucha dificultad si se tienen los conocimientos necesarios… y se conoce la vulnerabilidad de la que echar mano.

«Con lo estúpidamente sencillo que es, no me sorprendería que un centenar de personas hayan encontrado la misma vulnerabilidad y la hayan vendido a otros gobiernos», explica a Forbes , medio al que ha hecho una demostración práctica, Cody Brocious, desarrollador de software en Mozilla, investigador en temas de seguridad desde hace 24 años y quien ha encontrado el fallo. “Cualquier interno de la NSA (la Seguridad Nacional estadounidense) puede encontrarlo en cinco minutos”, asegura al medio.

Brocious ha detectado un par de vulnerabilidades en los cerrojos electrónicos que fabrica Onity , una firma que se autodenomina en su site «líder mundial desde hace décadas en el suministro de cerraduras electrónicas para la industria hotelera». En todo el mundo cuentan con millones de puertas que se cierran con sus sistemas: habitaciones de hotel de todo el mundo (y puertas de empresas y otros organismos) usan su sistema. La primera de las vulnerabilidades le permite acceder a la memoria de la cerradura y por tanto abrirla.

El sistema suplanta el programa que los responsables del hotel usan para gestionar las llaves . Brocious emplea un aparato creado por él mismo y cuyo coste no supera los 50 dólares. Lo conecta a la cerradura electrónica de la puerta del hotel y la misma «se abre». La prueba realizada por Brocious con Forbes en varias puertas de hotel no siempre funcionó con éxito aunque el número de veces que fue efectivo demostró que sí existe un problema.

Además de este fallo, Brocious detectó otro que le permite crear duplicados de las llaves que se entregan a los usuarios de la habitación en cuestión, cuando el hotel ya haya creado una copia de esa misma llave.

El hacker, que hoy no sólo hará una demostración práctica sino que también publicará en su site todos los detalles sobre lo que ha conseguido desarrollar , no ha seguido investigando sobre el potencial de esta herramienta (no sólo no tiene mucho tiempo sino que además le preocupa lo que podrá significar para la seguridad de los hoteles de medio mundo) pero cree que podría servir, con un poco más de desarrollo, para entrar en cualquier habitación de hotel del mundo (el sistema de cierre de la empresa afectada es el mayoritario) sin dejar rastro.