Los hackers pueden desbloquear 3 millones de puertas de hotel en 131 países

Los investigadores de seguridad han descubierto vulnerabilidades en la línea de cerraduras electrónicas RFID Saflok de Dormakaba, que podrían permitir a un atacante acceder a habitaciones de hotel y puertas de unidades de vivienda multifamiliares en cuestión de segundos utilizando un solo par de tarjetas de acceso falsificadas.

La serie de vulnerabilidades, denominada “Unsaflok”, fue descubierta por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell y Will Caruana en septiembre de 2022 y divulgada en marzo de 2024, como informó por primera vez Wired.

Unsaflok afecta a más de 3 millones de puertas en más de 13,000 propiedades en 131 países.

Todas las cerraduras que utilizan el sistema Saflok están afectadas, incluyendo (pero no limitado a) la serie de cerraduras Saflok – Saflok MT, la serie Quantum, la serie RT, la serie Saffire y la serie Confidant, que se utilizan en combinación con el software de gestión System 6000, Ambiance y Community.

Dormakaba, el fabricante de tarjetas de acceso y cerraduras, ha sido notificado y ya ha comenzado a trabajar en una solución.

Comenzó a actualizar hoteles en noviembre de 2023. A partir de marzo de 2024, aproximadamente el 36% de las cerraduras afectadas han sido actualizadas o reemplazadas.

Sin embargo, los investigadores dicen que es imposible saber visualmente si una cerradura ha sido actualizada para corregir estas vulnerabilidades.

“Actualizar cada hotel es un proceso intensivo. Todas las cerraduras requieren una actualización de software o deben ser reemplazadas. Además, todas las tarjetas de acceso deben ser reemitidas, el software de recepción y los codificadores de tarjetas deben ser actualizados, y las integraciones de terceros”, explican los investigadores.

“Un atacante solo necesita leer una tarjeta de acceso de la propiedad para realizar el ataque contra cualquier puerta en la propiedad. Esta tarjeta de acceso puede ser de su propia habitación, o incluso una tarjeta de acceso expirada tomada de la caja de colección de salida exprés”, escribieron los investigadores en su sitio web.

“Las tarjetas de acceso falsificadas pueden ser creadas utilizando cualquier tarjeta MIFARE Classic y cualquier herramienta comercialmente disponible capaz de escribir datos en estas tarjetas. Un par de tarjetas de acceso falsificadas permite a un atacante abrir cualquier puerta en la propiedad.”

Este ataque puede ser realizado por cualquier dispositivo capaz de leer, escribir o emular tarjetas MIFARE Classic, incluyendo Proxmark3 y Flipper Zero y un smartphone Android con capacidad NFC.

Actualmente, los investigadores han divulgado solo información limitada sobre la vulnerabilidad Unsaflok debido a su potencial impacto en hoteles y huéspedes.

Tienen la intención de compartir detalles técnicos adicionales de la vulnerabilidad en el futuro, ya que quieren dar a numerosas propiedades suficiente tiempo para actualizar sus sistemas.

Dormakaba comenzó a vender cerraduras Saflok en 1988, lo que significa que han estado disponibles comercialmente durante más de 36 años. Los investigadores dicen que no son conscientes de ataques en el mundo real que exploten esta vulnerabilidad.

“El 21 de marzo de 2024, dormakaba publicó información sobre una vulnerabilidad de seguridad asociada tanto con el algoritmo de derivación de claves utilizado para generar claves MIFARE Classic® como con el algoritmo de cifrado secundario utilizado para asegurar los datos subyacentes de la tarjeta. Esta vulnerabilidad afecta a los sistemas Saflok (System 6000™, Ambiance™ y Community™)”, dijo Dormakaba en un comunicado a BleepingComputer.

“Tan pronto como nos hicieron conscientes de la vulnerabilidad un grupo de investigadores de seguridad externos, iniciamos una investigación exhaustiva, priorizamos el desarrollo y la implementación de una solución de mitigación, y trabajamos para comunicarnos con los clientes de manera sistemática. No somos conscientes de ninguna instancia reportada de este problema siendo explotado hasta la fecha.

“De acuerdo con los principios de divulgación responsable, estamos colaborando con los investigadores para proporcionar una alerta más amplia que resalte cómo los riesgos existentes con la tecnología RFID heredada están evolucionando, para que otros puedan tomar medidas de precaución.