Una grave vulnerabilidad descubierta en los sistemas de cerraduras electrónicas de la marca Saflok puede hacer que cualquier hacker pueda abrir millones de habitaciones de hoteles y apartamentos en segundos, utilizando solo un móvil y una tarjeta de programación.
La vulnerabilidad, descubierta por un equipo de investigadores y bautizada como Unsaflok, afecta “a más de 3 millones de puertas en más de 13.000 propiedades en 131 países”, tal y como han detallado los expertos. Los atacantes solo necesitan hacerse con una tarjeta de acceso de una propiedad para poder replicarla y desbloquear cualquier cerradura de la marca, especialmente de los modelos Saflok MT, los de la serie Quantum, la serie RT, la serie Saffire y la serie Confidant. Incluso, pueden hacer uso de llaves que ya estén caducadas —las que, por ejemplo, los huéspedes de los hoteles colocan en el cajón de check-out express.
Después, tan solo es necesario usar un dispositivo de lectura y escritura RFID para leer la tarjeta de acceso del hotel y así reescribir parte de los datos en otras dos tarjetas; una de ellas obtiene la información de la cerradura; la otra, la abre, detallan desde Wired. El equipo de investigadores aseguran que este paso se puede llevar a cabo, incluso, con un móvil Android compatible con NFC.
Además, los investigadores se dieron cuenta de que, con un dispositivo de programación de cerraduras que Dormakaba proporciona a los hoteles y una copia del software de gestión de las tarjetas, podían usar ingeniería inversa en el software para extraer los códigos del hotel y las habitaciones del mismo. De este modo, pueden reescribirlos y cifrarlos para crear una especie de llave maestra que pudiese abrir todas las habitaciones.
Dormakaba ya tiene una solución a la vulnerabilidad en las cerraduras de los hoteles
Según confirman los investigadores, Dormakaba, la compañía detrás de las cerraduras electrónicas de la marca Saflok, lleva tiempo trabajando en una solución para esta vulnerabilidad. Afirman que la empresa actualizó los sistemas de algunos hoteles a partir de noviembre de 2023, pero que, “a fecha de 3 de marzo de 2024, aproximadamente el 36 % de las cerraduras afectadas se han actualizado o reemplazado”.
Actualizar cada hotel es un proceso intensivo. Todas las cerraduras requieren una actualización de software o deben ser reemplazadas. Además, se deben volver a emitir todas las tarjetas de acceso, se deben actualizar el software de recepción y los codificadores de tarjetas, y las integraciones de terceros (por ejemplo, ascensores, estacionamientos y sistemas de pago) pueden requerir actualizaciones adicionales.
Por el momento, los usuarios pueden saber si un sistema de cerradura electrónica se ha reemplazado comprobando el modelo de su tarjeta. Para ello, es necesario descargar una aplicación disponible en iOS y Android. Después, basta con acercar la tarjeta al móvil —este debe tener NFC— y comprobar si la llave es una MIFARE Ultralight C, que es el modelo actualizado. Las MIFARE Classic, en cambio, están expuestas, aunque no quiere decir que se hayan hackeado.