Como abrir una puerta de habitación de hotel (diferente de la tuya)

No queremos hablar de la forma más expeditiva, la patada. Se trata de una forma más sutil y contemporánea: pirateando la cerradura electrónica. Justo a tiempo para las vacaciones, en julio de 2012, Cody Brocious, un programador informático de Mozilla dio, en una conferencia sobre seguridad informática, una charla titulada 'My Arduino Can Beat Up Your Hotel Room Lock', en la que presentó un pequeño aparato –cuyas partes sólo costaban 50 dólares– y un software que, combinados, permitían desbloquear cerraduras electrónicas de puertas de hotel.

Había dos elementos significativos en este hecho. El primero es que el informático ofrecía toda la programación en abierto ('open source') y la segunda, y quizás más preocupante, es que el dispositivo se centraba en las cerraduras de la empresa Onity, que están en unos cinco millones de habitaciones de hotel en todo el mundo, especialmente en cadenas como Marriott, Sheraton o Holiday Inn.

En un primer momento, la empresa de las puertas no hizo declaraciones públicas, aunque el programador contactó con ella para advertirle de la vulnerabilidad informática. Esta se centra en el hecho de que el chip que controla la cerradura no tiene la información encriptada. Así, el aparato del 'hacker' se conecta a un pequeño puerto de conexión de la cerradura (como una entrada USB del ordenador o del móvil), lee en el chip la secuencia de datos almacenada y devuelve esta secuencia a la cerradura, que cree que le llega de la llave electrónica genuina y desbloquea el pestillo.

Forbes, una revista estadounidense de negocios, pidió al programador que le hiciera una demostración del hallazgo y se lo llevó a un hotel de Nueva York. Aunque sólo consiguió abrir un tercio de las puertas, en líneas generales, se vio que el procedimiento funcionaba. Sólo unas semanas después, otros programadores empezaron a trabajar sobre la documentación pública que compartió el programador y algunos subieron vídeos a internet en los que demostraban que se estaba mejorando la efectividad del método.

A finales de agosto, Onity, la empresa de las cerraduras, tuvo que reaccionar, aunque de una manera extraña. Ofreció dos soluciones. La primera, gratuita pero cutre, consistía en unos tapones especiales para los puertos a los que se conectaba el aparato pirata. La segunda, más segura, era instalar un nuevo circuito impreso y un nuevo firmware, pero diciendo al propietario de la puerta que él tenía que asumir el coste.

Mientras los hoteles decidían qué hacer, el método abrepuertas se iba extendiendo. En noviembre, explica PC World, en Houston detuvieron en una casa de préstamos a un hombre que había robado un portátil de una habitación de hotel con cerradura de Onity. El hotel, un Hyatt, declaró que desde septiembre habían aumentado los robos en habitaciones.

Y otros sofisticaron más el tema. En la popular web Lifehacker y en hackaday.com explican cómo reducir el aparato para insertarlo dentro de un rotulador tipo Velleda, en el que la punta es el conector y el cuerpo contiene la placa del circuito impreso y la batería. Porque "si vas con un circuito impreso al aire y un montón de cables, la gente se fijará en ti. Pero un marcador de limpieza en seco no llama la atención".

Poco después, una aseguradora del mundo de la hostelería emitió un informe alertando de la seriedad de la amenaza 'hacker'. Así las cosas, los hoteles y Onity se apresuraron a aplicar más seguridad en las puertas. En diciembre pasado, la empresa colgó en su blog un comunicado en el que decía que 1,4 millones de cerraduras ya tenían unos tapones especiales fijados con unos tornillos de seguridad que "bloquean el acceso físico al puerto que utilizan los piratas". Y al final, accedió a asumir el coste de reemplazar los circuitos y el 'firmware' no encriptado por otro más seguro.

La advertencia final que hay que hacer es que hay que tener cuidado, especialmente con las puertas de cerradura electrónica en EEUU y de hoteles de cadena. Pueden quedar todavía cientos de miles de puertas pirateables. Pero los hoteles son conscientes y están un poco más vigilantes.

1 comentario :

  1. como puedo conseguir un arduino para abrir la cerradura de mi propia casa cuando me olvido de llevar mi tarjeta conmigo?

    ResponderEliminar