Los hackers muestran como abrir millones de cerraduras de hoteles usando móviles Android con NFC

Vivimos en una era digital, con tecnología que va haciendo nuestras vidas algo más sencillo y a la vez, un tanto preocupante. Y es que, tenemos que depender de la seguridad en este entorno para asegurar nuestros datos. No solo eso, sino que cada vez más servicios dependen de estos sistemas, que ahora veremos que se pueden romper con facilidad. Unos hackers éticos han mostrado como es posible usar nuestro teléfono Android con NFC como llave maestra para abrir cerraduras de hoteles.

Los hackers han protagonizado algunos de los ataques a las organizaciones más importantes del mundo. Compañías, instituciones o incluso personas individuales con mucho poder o miembros del gobierno, han sido hackeados con diversos fines. Lo más habitual es que los hackers se encarguen de robar bienes o archivos con el fin de pedir una compensación por ellos. Si bien estos son los ataques más frecuentes, también nos encontramos con otro grupo de hackers que pueden considerarse "buenos".

Descubren un exploit que permite abrir cerraduras Saflok de hoteles en todo el mundo

Puerta saflok 1

Comúnmente llamados hackers de sombrero blanco o hackers éticos, estos tiene como objetivo realizar ataques a compañías sin el fin de sacarles dinero. De hecho, en ocasiones se encargan de combatir a empresas que hacen el mal y ayudan a aquellas que creen que son las víctimas. Vimos un caso de esto último cuando el grupo de hackers Dragon Sector se encargó de solucionar un problema con los trenes y su obsolescencia programada.

Ahora tenemos a un grupo de personas, entre los cuales tenemos algunos de estos hackers éticos, que esta vez han reportado como es posible abrir cerraduras de hoteles que funcionan con tarjeta, usando nuestro móvil Android con NFC activado. Este exploit fue descubierto por Lennert Wouters, Ian Carroll, rqu, Sam Curry, sshell, Will Caruana y BusesCanFly. Según indican, hay más de 3 millones de cerraduras de hotel que pueden ser abiertas a lo largo de 13.000 hoteles en 131 países. La mayoría de los hoteles afectados usan el software de gestión System 6000, Ambiance o Community. En concreto, los hoteles afectados son los que usan cerraduras electrónicas RFID Saflok. Afecta a los modelos Saflok MT, Quantum, RT, Salfire y Confidant.

Podemos abrir las cerraduras con una tarjeta MIFARE Classic y un móvil Android

Puerta saflok 2

Para poder realizar el exploit y poder abrir la cerradura, se necesita una tarjeta MIFARE Classic que sea auténtica, sin importar si funciona o está caducada. Además de esto, se requiere un dispositivo que pueda escribir datos en una de estas tarjetas. Aquí el ejemplo de dispositivo más fácil y que todos tenemos es un móvil Android con NFC activado, aunque también se mencionan dispositivos como el Flipper Zero o el Prixmark3.

Con una de estas tarjetas MIFARE Classic podemos abrir cualquier puerta del hotel que produjo la tarjeta original. También funciona para invalidar cerrojos de seguridad, por lo que es bastante peligroso a la hora de que se infiltren personas indebidas. La única forma de detectar si se ha usado una tarjeta falsificada es consultar los registros de entrada y salida con un dispositivo HH6.

Dormakaba, la empresa encargada de las cerraduras Saflok, fue informada de este suceso y desarrolló una solución que abarcaba el 36% de las cerraduras afectadas. Las nuevas cerraduras son idénticas visualmente, por lo que no se sabe cuáles son vulnerables y cuáles no. Desde Dormakaba ya avisan de que están colaborando con los investigadores para alertar al resto de hoteles para que tomen medidas.