Vulnerabilidad de seguridad en las cerraduras con tarjeta de acceso basadas en RFID de Saflok Es bastante devastadora: hoy, Ian Carroll, Lennert Wouters y un equipo de otros investigadores de seguridad están revelando una técnica de piratería de tarjetas de hotel a la que llaman Unsaflok. La técnica es una colección de vulnerabilidades de seguridad que permitiría a un pirata informático abrir casi instantáneamente varios modelos de cerraduras con tarjeta de acceso RFID de la marca Saflok vendidas por el fabricante suizo de cerraduras Dormakaba. Los sistemas Saflok están instalados en 3 millones de puertas en todo el mundo, dentro de 13.000 propiedades en 131 países. Al explotar las debilidades tanto en el cifrado de Dormakaba como en el sistema RFID subyacente que utiliza Dormakaba, conocido como MIFARE Classic, Carroll y Wouters han demostrado con qué facilidad pueden abrir una cerradura con tarjeta Saflok. Su técnica comienza con la obtención de cualquier tarjeta de acceso de un hotel objetivo (por ejemplo, reservando una habitación allí o sacando una tarjeta de una caja de tarjetas usadas), luego lee un determinado código de esa tarjeta con un dispositivo de lectura y escritura RFID de 300 dólares y, finalmente, escribiendo dos tarjetas de acceso propias. Cuando simplemente tocan esas dos tarjetas en una cerradura, la primera reescribe cierta parte de los datos de la cerradura y la segunda la abre. Dormakaba dice que ha estado trabajando desde principios del año pasado para concienciar a los hoteles que utilizan Saflok de sus fallas de seguridad y ayudarlos a reparar o reemplazar las cerraduras vulnerables. Para muchos de los sistemas Saflok vendidos en los últimos ocho años, no es necesario reemplazar el hardware para cada cerradura individual. En cambio, los hoteles sólo necesitarán actualizar o reemplazar el sistema de gestión de la recepción y hacer que un técnico lleve a cabo una reprogramación relativamente rápida de cada cerradura, puerta por puerta. Wouters y Carroll dicen que, no obstante, Dormakaba les dijo que, hasta este mes, sólo el 36 por ciento de los Safloks instalados han sido actualizados. Dado que las cerraduras no están conectadas a Internet y algunas cerraduras más antiguas aún necesitarán una actualización de hardware, dicen que la solución completa probablemente tardará meses más en implementarse, como mínimo. Algunas instalaciones antiguas pueden tardar años. Si alguna vez. Supongo que para muchas cerraduras, esta es una vulnerabilidad permanente. Tags: ciberseguridad, hacking, hoteles, Internet de las Cosas, cerraduras, vulnerabilidades Publicado el 27 de marzo de 2024 a las 7:01 • 8 comentarios

Source link