Hackers encontraron una forma de abrir cualquiera de las cerraduras de tarjeta de hotel de 3M
Título y confusión con “3M”
- Muchos lectores leyeron inicialmente “3M” como la empresa, y no como “3 millones”, lo que provocó llamados a cambiar el título de la publicación.
- Largo desvío sobre la notación: M vs MM vs mm, unidades SI frente a taquigrafía contable; algunos argumentan a favor de “3MM” o de escribir “3 millones” para evitar ambigüedades.
Naturaleza e impacto de la vulnerabilidad de Saflok
- La vulnerabilidad afecta a millones de cerraduras Dormakaba Saflok; una tarjeta válida de una propiedad puede usarse para abrir cualquier habitación allí.
- El ataque puede ejecutarse con herramientas económicas (Proxmark, Android, Flipper Zero, tarjetas en blanco).
- El pestillo de seguridad está controlado por el mismo sistema de tarjeta de acceso, así que no añade protección real.
Pestillos de hotel y “teatro de seguridad”
- Sorprende que los pestillos de seguridad no proporcionen seguridad independiente; otros dicen que esto es intencional para que el personal y los servicios de emergencia siempre puedan entrar.
- Discusión sobre los pestillos “swing bar” y cómo herramientas de bypass y métodos caseros pueden derrotarlos.
- Punto más amplio: muchas cerraduras principalmente disuaden a personas honestas; los atacantes serios tienen múltiples opciones rápidas de bypass.
Tecnología de tarjetas, RFID y seguridad NFC
- MIFARE Classic es ampliamente considerado como efectivamente roto; son posibles la clonación y los ataques rápidos.
- Muchos sistemas de acceso solo verifican una ID estática, la envían en texto claro (por ejemplo, Wiegand) y reutilizan tarjetas inseguras porque son baratas y compatibles.
- Debate sobre si NFC es inherentemente más seguro; una postura afirma que está diseñado para uso seguro, de corto alcance y cifrado, mientras que la otra subraya que el NFC básico no tiene cifrado integrado y que la seguridad depende por completo de protocolos de nivel superior.
Respuesta del proveedor y responsabilidad
- Dormakaba fue informada en 2022; según el artículo, solo ~36% de las cerraduras estaban actualizadas.
- Algunos consideran que esto es inaceptablemente lento para un problema crítico de seguridad; otros señalan que los clientes también se resisten a las actualizaciones por costo y complejidad.
Riesgos operativos y sociales
- Incluso sin hackeo, muchos hoteles reemiten tarjetas con verificación mínima o nula de identidad, así que la ingeniería social sigue siendo una amenaza importante.
- Varias explicaciones de cómo funcionan realmente las tarjetas de hotel: cerraduras sin conexión, datos y caducidad escritos en la tarjeta, lógica de “una nueva llave invalida la anterior”.
Mitigaciones para huéspedes e inquilinos
- Sugerencias: cuñas para puertas, correas, dispositivos físicos adicionales cuando se está en la habitación.
- Para apartamentos, varias historias sobre cambiar cilindros o evitar cerraduras RFID inseguras, con tensión entre la seguridad del inquilino y los requisitos de acceso del propietario/emergencia.