CIBERDELINCUENCIAContacte con la sección: [email protected] Tel. 5449-86-00 Martes 30 de Julio de 2019 EL FINANCIERO 19
PATRICK CLARK / BLOOMBERG BUSINESSWEEK
[email protected]EL ARTE DE HACKEAR UN HOTEL
CORTINAS A CONTROL
REMOTO Y ACUARIOS
INTELIGENTES PUEDEN SERVIR
COMO PUERTAS TRASERAS
PARA ROBAR TUS DATOS
PERSONALES
go, estos hackers eran buenos: con-
sultores de TI frustrados con las laxas
medidas de seguridad de sus clientes
en el sector de la hostelería. Para de-
mostrar las debilidades de la industria,
su jefe organizó que un reportero los
acompañara en una auditoría a uno
de sus clientes. Las condiciones: no
ingresarían a los dispositivos de los
huéspedes y ni el hotel, ni la ciudad,
ni los hackers podrían ser nombrados.
La habitación era antigua, con unaEditora
Alejandra
César
Coeditora
Gráfica:
Ana Luisa
GonzálezTRES HOMBRES BIEN VESTIDOS
cargaron sus mochilas en la cajuela
de un cupé negro y condujeron por
una gran ciudad europea. Al llegar a
su hotel, bajaron el equipaje y se re-
gistraron para hackearlo.
Los hackers atacan instituciones
financieras porque allí está el dinero,
y cadenas minoristas porque allí las
personas gastan. Los hoteles son un
objetivo menos obvio, pero son hac-
keados con la misma frecuencia debido
a los valiosos datos que pasan a tra-
vés de ellos, como tarjetas de crédito
y secretos industriales. Los ladrones
intervienen cerraduras electrónicas
para robar cuartos y usan malware
para clonar tarjetas. Incluso han usado
el Wi-Fi para secuestrar redes internas
en busca de datos corporativos.
Casi todos los principales actores
de la industria han sufrido ataques.
En uno caso célebre, hackers usaron el
acuario conectado a internet del lobby
de un casino de Las Vegas para ingre-
sar a la red interna e intentar robar una
base de datos de grandes apostadores.
Mientras el líder del grupo se re-
gistra en recepción, otro pasea ad-
virtiendo que el hotel usa un sistema
obsoleto de terminal punto de venta, y
un tercero emplea una aplicación para
buscar redes inalámbricas ocultas. En
tanto esperan a que su habitación esté
lista, los hackers toman café en una
terraza. Abren el código del sitio del
hotel y explotan un complemento des-
actualizado para compilar una lista de
nombres de administradores de la red.
Están buscando una “puerta”, un
acceso. Claro, podrían introducir una
unidad USB en la registradora que na-
die vigila en el restaurante y registrar
las tarjetas hasta que alguien note el
dispositivo. Pero prefieren hallar un ca-
mino al sistema de gestión o PMS, usa-
do para hacer reservas y administrarlo.
Cuando hicieron esto en un hotel
de NY, conectaron un cable desde la
televisión de la habitación a una com-
putadora e ingresaron al sistema de
gestión, que a su vez enlazaba al siste-
ma corporativo de la cadena. Correos
que Bloomberg Businessweek pudo
ver revelan que obtuvieron acceso a
años de información de tarjetas y tran-
sacciones en docenas de hoteles.
Si hubieran sido delincuen-
tes, habrían vendido la
información en el
mercado negro,
sin embar-Pese a que los hoteles
tienen un problema de se-
guridad cibernética básica, es-
tán construyendo masivas bases de
datos de comportamiento. En algunos
lugares, las marcas recopilan datos
sobre la temperatura que prefieres y
cómo te gustan los huevos.
La cortina conectada a internet no
dio a los hackers acceso al sistema,
pero puso al equipo en una búsqueda
por otras conexiones. Finalmente se
conectaron y usaron un escáner de
redes para buscar direcciones IP que
parecían estar alojando el PMS.
Evaluaron las fallas en el sistema de
conexión a internet y la red interna y
los aciertos de las defensas del hotel.
Para ser francos, la seguridad era me-
jor de lo que el equipo esperaba, pero
lo suficientemente porosa para ser
susceptible a un ataque. Si realmente
quisieran de ingresar a la red, habrían
intentado descifrar las cuentas del per-
sonal para tratar de tomar el control del
sitio. No todo estaba mal: la red interna
del hotel estaba protegida.
Impaciente por acelerar el proceso,
el líder hizo que un colega buscara el
rango de IP correcto para la red del
hotel. El PMS, sin embargo, no res-
pondió. La puerta de acceso estaba
bien cerrada con llave.
Pero entonces se abrió una ventana.
Uno de los hackers lanzó un ataque de
denegación de servicio para expulsar
el dispositivo de una huésped, el “iPad
de Jamie”, de la conexión Wi-Fi del ho-
tel. De haber actuado con dolo, ese
habría sido el primer paso para hacer
que el iPad de Jamie se conectara a la
falsa red y espiar sus comunicaciones.
Mirándolo por el lado positivo, los hac-
kers nunca descubrieron qué le gusta
a Jamie para desayunar.televi-
sión con-
vencional,
teléfonos viejos y
un minibar estándar,
pero sin internet. Uno de
los hackers buscó en el marco
de la ventana, ahí había un puerto
de internet para abrir y cerrar las cor-
tinas con control remoto. “Esta será la
forma de entrar”, dijo el líder.
Hasta qué punto la responsabili-
dad de proteger las transmisiones
electrónicas es de los hoteles o de los
huéspedes es “una pregunta filosófica
desagradable”, dice Mike Wilkinson, di-
rector global de Trustwave SpiderLabs.
Mark Orlando, director de tecnología
de ciberseguridad en Raytheon IIS,
aconseja a los clientes corporativos
evitar de tajo el uso de dispositivos
personales mientras viajan.
“Desde el punto de vista de la inte-
ligencia, hay algunas ventajas reales
en saber con antelación dónde esta-
rán las personas de alto perfil”, explica
Gates Marshall, director de servicios
cibernéticos de CompliancePoint Inc.
La admirable costumbre de la in-
dustria hotelera de ascender a su per-
sonal desde abajo significa que no es
raro encontrar ejecutivos de TI que
comenzaron sus carreras cargando
maletas. Los exbotones tal vez pue-
dan entender cómo funciona un hotel
mejor que un ingeniero de software,
pero eso no significa que comprendan
la arquitectura de red.
También hay un problema estructu-
ral. Compañías como Marriott y Hilton
son responsables de proteger las ba-
ses de datos de reservaciones y de los
programas de fidelidad. Pero la tarea
de proteger las cerraduras electróni-
cas o el Wi-Fi de los huéspedes en un
hotel recae en los inversionistas que
son dueños de los hoteles, e invierten
en cosas más vistosas.
El resultado es un caótico ecosiste-
ma cimentado en un software antiguo.
Muchos hoteles usan Opera, vendido
por Oracle Corp., como su PMS. Una
versión popular fue diseñada para un
sistema operativo Windows anterior y
requiere desactivar las funciones de se-
guridad para que el software funcione.
Otros hoteles ponen su PMS en línea,
lo que permite que los hackers ingre-
sen a miles de kilómetros de distancia.