Hoy publicamos en el blog una entrada diferente: recogemos una historia singular que pensamos que puede ayudar a reflexionar sobre algunos aspectos de la seguridad y de los que podemos obtener algunos aprendizajes.

El año 2012, el analista de seguridad Cody Brocious descubrió una vulnerabilidad que afectaba a las cerraduras electrónicas de la marca Onity, instaladas en las puertas de multitud de hoteles de todo el mundo, y creó un pequeño dispositivo portátil con el que se podían llegar a abrir 10 millones de puertas de hotel.

El hallazgo, además de ser comunicado a la empresa, fue difundido en foros especializados en hackers y seguridad informática, y algún medio de comunicación como el periodista Andy Greenberg, de la revista Forbes se hizo eco de la noticia. A pesar de estas comunicaciones y de que en internet se replicaron demostraciones sobre diferentes dispositivos, cada vez más pequeños, que eran capaces de aprovechar esta vulnerabilidad, la empresa tardó en reaccionar y muchos hoteles no quisieron cambiar las cerraduras que se habían vuelto inseguras.

Aaron Cashatt, un joven de Arizona con problemas con las drogas, una breve carrera criminal y conocimientos de informática y electrónica, vio un programa de televisión en que se explicaba cómo piratear las cerraduras de las habitaciones de hotel. En el verano de 2012, con una inversión de unos 50 dólares, pudo replicar el dispositivo y lo probó en un hotel, de donde sustrajo unas cuantas toallas. Viendo la efectividad, fue perfeccionando sus golpes, aumentando el valor de los objetos sustraídos primero, televisores y equipamientos de las habitaciones y, más adelante, pertenencias de las personas alojadas y perfeccionando la herramienta que le permitía acceder a las habitaciones sin dejar rastro. Durante más de un año, las autoridades policiales de Arizona y de otros estados vecinos como Ohio o California estuvieron persiguiendo a un fantasma que entraba en las habitaciones de hotel sin dejar rastro. Y, a pesar de haber sido detenido y brevemente encarcelado por delitos anteriores, no fue hasta el verano de 2013 que pudieron relacionarlo con los cerca de 100 delitos que había cometido durante aquel tiempo, y finalmente acabó detenido, condenado y encarcelado por estos robos en hoteles.

Greenberg publicó en la revista Wired la historia de Cashatt en el verano de 2017 y, aunque no tenía conocimientos de informática, pudo replicar también la herramienta ideada por Brocious. Intentó utilizar el dispositivo en cuatro hoteles distintos se alojaba en las habitaciones que intentaba forzar para evitar cometer ningún delito y, sorprendentemente, tras cinco años que se conociera la vulnerabilidad de las cerraduras Onity, el dispositivo le funcionó en una de las habitaciones.

Esta historia nos permite reflexionar, entre otros, sobre algunos aspectos:

• La multitud de actores con responsabilidad sobre la seguridad: en este caso, policía, hoteles, fabricantes de cerraduras… y piratas informáticos que descubren la vulnerabilidad.
• La importancia de implementar medidas una vez se descubren las vulnerabilidades. Cashatt estuvo durante un año explotando la vulnerabilidad descubierta por Brocious y Greenberg demostró que, cinco años después, todavía suponía un riesgo para los establecimientos que no habían cambiado ni actualizado las cerraduras.
• La necesidad de seguir las informaciones relacionadas con la seguridad. Aunque se había comunicado públicamente y difundido por los medios de comunicación, los cuerpos policiales no descubrieron el modus operandi de Cashatt hasta que lo detuvieron y le encontraron los dispositivos que utilizaba para entrar en las habitaciones.

_____

Aquest apunt en català / This post in English / Post en français