Hackers encontraron una forma de abrir cualquiera de las cerraduras de tarjeta de hotel de 3M

Título y confusión con “3M”

  • Muchos lectores leyeron inicialmente “3M” como la empresa, y no como “3 millones”, lo que provocó llamados a cambiar el título de la publicación.
  • Largo desvío sobre la notación: M vs MM vs mm, unidades SI frente a taquigrafía contable; algunos argumentan a favor de “3MM” o de escribir “3 millones” para evitar ambigüedades.

Naturaleza e impacto de la vulnerabilidad de Saflok

  • La vulnerabilidad afecta a millones de cerraduras Dormakaba Saflok; una tarjeta válida de una propiedad puede usarse para abrir cualquier habitación allí.
  • El ataque puede ejecutarse con herramientas económicas (Proxmark, Android, Flipper Zero, tarjetas en blanco).
  • El pestillo de seguridad está controlado por el mismo sistema de tarjeta de acceso, así que no añade protección real.

Pestillos de hotel y “teatro de seguridad”

  • Sorprende que los pestillos de seguridad no proporcionen seguridad independiente; otros dicen que esto es intencional para que el personal y los servicios de emergencia siempre puedan entrar.
  • Discusión sobre los pestillos “swing bar” y cómo herramientas de bypass y métodos caseros pueden derrotarlos.
  • Punto más amplio: muchas cerraduras principalmente disuaden a personas honestas; los atacantes serios tienen múltiples opciones rápidas de bypass.

Tecnología de tarjetas, RFID y seguridad NFC

  • MIFARE Classic es ampliamente considerado como efectivamente roto; son posibles la clonación y los ataques rápidos.
  • Muchos sistemas de acceso solo verifican una ID estática, la envían en texto claro (por ejemplo, Wiegand) y reutilizan tarjetas inseguras porque son baratas y compatibles.
  • Debate sobre si NFC es inherentemente más seguro; una postura afirma que está diseñado para uso seguro, de corto alcance y cifrado, mientras que la otra subraya que el NFC básico no tiene cifrado integrado y que la seguridad depende por completo de protocolos de nivel superior.

Respuesta del proveedor y responsabilidad

  • Dormakaba fue informada en 2022; según el artículo, solo ~36% de las cerraduras estaban actualizadas.
  • Algunos consideran que esto es inaceptablemente lento para un problema crítico de seguridad; otros señalan que los clientes también se resisten a las actualizaciones por costo y complejidad.

Riesgos operativos y sociales

  • Incluso sin hackeo, muchos hoteles reemiten tarjetas con verificación mínima o nula de identidad, así que la ingeniería social sigue siendo una amenaza importante.
  • Varias explicaciones de cómo funcionan realmente las tarjetas de hotel: cerraduras sin conexión, datos y caducidad escritos en la tarjeta, lógica de “una nueva llave invalida la anterior”.

Mitigaciones para huéspedes e inquilinos

  • Sugerencias: cuñas para puertas, correas, dispositivos físicos adicionales cuando se está en la habitación.
  • Para apartamentos, varias historias sobre cambiar cilindros o evitar cerraduras RFID inseguras, con tensión entre la seguridad del inquilino y los requisitos de acceso del propietario/emergencia.