Bloomberg Businessweek

El arte de hackear... un hotel

Cortinas a control remoto y acuarios inteligentes pueden servir como puertas traseras para robar tus datos personales.

Tres hombres bien vestidos cargaron sus mochilas en la cajuela de un cupé negro y condujeron por una gran ciudad europea. Al llegar a su hotel, bajaron el equipaje y se registraron para hackearlo.

Los hackers atacan instituciones financieras porque allí es donde está el dinero, y atacan cadenas minoristas porque allí es donde las personas gastan. Los hoteles son un objetivo menos obvio, pero son hackeados con la misma frecuencia debido a los valiosos datos que pasan a través de ellos, como las tarjetas de crédito y los secretos industriales. Los ladrones intervienen las cerraduras electrónicas de las puertas para robar habitaciones y usan malware para clonar los datos de tarjetas de crédito en tiempo real. Incluso han utilizado el Wi-Fi para secuestrar las redes internas de los hoteles en busca de datos corporativos.

Casi todos los principales actores de la industria han sufrido ataques, incluidos Hilton Worldwide, InterContinental Hotels Group y Hyatt Hotels.

En un caso célebre, unos hackers usaron el acuario conectado a internet del lobby de un casino de Las Vegas para ingresar a la red interna e intentar robar una base de datos de grandes apostadores.

Mientras el líder del grupo se registra en la recepción, otro pasea advirtiendo que el hotel usa un sistema obsoleto de terminal punto de venta, y un tercero emplea una aplicación móvil llamada Fing para buscar redes inalámbricas ocultas. En tanto esperan a que su habitación esté lista, los hackers toman café en una terraza. Abren el código del sitio web del hotel y explotan un complemento desactualizado para compilar una lista de nombres de administradores de la red.

Están buscando una "puerta", un acceso. Claro, podrían introducir una unidad USB en la registradora que nadie vigila en el extremo más alejado de la barra del restaurante y registrar los números de las tarjetas de crédito hasta que alguien note el dispositivo. Pero prefieren encontrar un camino hacia el sistema de gestión hotelera o PMS, que los hoteles usan para hacer reservas y administrarlo.

Cuando hicieron esto mismo en un hotel de Nueva York, conectaron un cable de internet desde la televisión de la habitación a una computadora portátil e ingresaron al sistema de gestión del hotel, que a su vez enlazaba al sistema corporativo de la cadena hotelera. Los correos que Bloomberg Businessweek pudo ver muestran que obtuvieron acceso a años de información de tarjetas de crédito y transacciones en docenas de hoteles.

Si hubieran sido delincuentes, habrían vendido la información en el mercado negro, donde una tarjeta Visa con un límite alto puede costar alrededor de 20 dólares. Sin embargo, estos hackers eran buenos, consultores de TI frustrados con las laxas medidas de seguridad de sus clientes en el sector de la hostelería. Para demostrar las debilidades de la industria, su jefe organizó que un reportero los acompañara en una auditoría a uno de los hoteles de sus clientes. Las condiciones: los hackers no ingresarían a los dispositivos personales de los huéspedes, y ni el hotel, ni la ciudad, ni los hackers podrían ser nombrados.

Esta habitación europea era antigua, con una televisión convencional, teléfonos viejos y un minibar estándar, pero sin internet. Entonces uno de los hackers comenzó a buscar en el marco de la ventana. ahí había un puerto de internet para abrir y cerrar las cortinas con un control remoto.

"Esta será la forma de entrar", dijo el líder.

Hasta qué punto la responsabilidad de proteger las transmisiones electrónicas es de los hoteles o de los huéspedes es "una pregunta filosófica desagradable", dice Mike Wilkinson, director global de Trustwave SpiderLabs. Mark Orlando, director de tecnología de ciberseguridad en Raytheon IIS, aconseja a los clientes corporativos evitar de tajo el uso de dispositivos personales mientras viajan.

Con todo, ninguna medida de seguridad digital personal habría salvado a los viajeros del ataque masivo que Marriott International Inc. descubrió el año pasado. A principios de septiembre de 2018 detectaron una búsqueda sospechosa en la base de datos de reservas de Starwood Hotels & Resorts Worldwide Inc., una empresa que Marriott había adquirido dos años antes. En las semanas siguientes, los investigadores descubrieron un troyano de acceso remoto (RAT), un software que permite a los piratas informáticos tomar el control de una computadora, así como otra pieza de malware que rastrea la memoria en busca de nombres de usuario y contraseñas.

Los intrusos digitales obtuvieron hasta 383 millones de registros de huéspedes, más de cinco millones de números de pasaportes sin encriptar y más de nueve millones de tarjetas de pago encriptadas. Marriott no ha encontrado evidencia de que los datos de los clientes se hayan vendido en la web oscura, dijo el CEO Arne Sorenson en marzo. Parece una buena noticia, pero en realidad puede ser mala. De acuerdo con los expertos en seguridad, el hecho de que no hubiera una intención de orden comercial significa que el ataque fue perpetrado por un gobierno, que podría utilizar los datos para extrapolar información sobre políticos, líderes empresariales y agentes de inteligencia.

"Desde el punto de vista de la inteligencia, hay algunas ventajas reales en saber con antelación dónde estarán las personas de alto perfil", explica Gates Marshall, director de servicios cibernéticos de CompliancePoint Inc.

Sorenson ha dicho que no sabe quién fue responsable del ataque, y que probablemente nunca lo sepa.

La admirable costumbre de la industria hotelera de ascender a su personal desde abajo significa que no es raro encontrar ejecutivos de TI que comenzaron sus carreras cargando maletas. Los exbotones tal vez puedan entender cómo funciona un hotel mejor que un ingeniero de software, pero eso no significa que comprendan la arquitectura de red.

También hay un problema estructural. Compañías como Marriott y Hilton son responsables de proteger las bases de datos que almacenan las reservaciones y la información de los programas de fidelidad de los clientes. Pero la tarea de proteger las cerraduras electrónicas o el Wi-Fi de los huéspedes en un hotel recae en los inversionistas que son dueños de los hoteles, e invierten en cosas más vistosas.

El resultado es un caótico ecosistema tecnológico cimentado en un software antiguo. Muchos hoteles usan Opera, vendido por Oracle Corp., como su PMS. Una versión popular fue diseñada para un sistema operativo Windows anterior y requiere desactivar las funciones de seguridad para que el software funcione. Otros hoteles ponen su PMS en línea, lo que permite que los hackers ingresen a miles de kilómetros de distancia.

Pese a que los hoteles tienen un problema de seguridad cibernética básica, están construyendo masivas bases de datos de comportamiento personal. En algunos lugares, las marcas hoteleras ya están recopilando datos sobre la temperatura que prefieres en la habitación y cómo te gustan los huevos. Otras clases de datos de clientes, como los congresos anuales a las que asistes o la fecha de tu aniversario de boda, son oportunidades de marketing sin explotar. En una entrevista en junio, Sorenson apuntó que el hackeo había obligado a su compañía a replantearse más detenidamente la ciberseguridad. También afirmó que los problemas de privacidad son manejables.

La cortina conectada a internet no dio a los hackers acceso al PMS o sistema de gestión del hotel, pero puso al equipo en una búsqueda por otras conexiones. Encontraron otro puerto de internet en el techo del vestidor. Pero había un problema, nadie había traído un cable de 3 metros.

Finalmente se conectaron y usaron un escáner de redes para buscar direcciones IP que parecían estar alojando el PMS.

Evaluaron las fallas en el sistema de conexión a internet y la red interna y los aciertos de las defensas del hotel. Para ser francos, la seguridad era mejor de lo que el equipo esperaba, pero aun así era lo suficientemente porosa para ser susceptible a un ataque. Si realmente estuvieran tratando de ingresar a la red, habrían intentado descifrar las cuentas del personal del hotel para tratar de tomar el control del sitio web. No todo estaba mal: la red interna del hotel estaba protegida.

Impaciente por acelerar el proceso, el líder del equipo hizo que un colega buscara el rango de IP correcto para la red del hotel. El PMS, sin embargo, no respondió. La puerta de acceso estaba bien cerrada con llave.

Pero entonces se abrió una ventana. Uno de los hackers lanzó un ataque de denegación de servicio para expulsar el dispositivo de una huésped, el "iPad de Jamie", de la conexión Wi-Fi del hotel. De haber actuado con dolo, ese habría sido el primer paso para hacer que el iPad de Jamie se conectara a la falsa red y espiar sus comunicaciones. Mirándolo por el lado positivo, los hackers nunca descubrieron qué le gusta a Jamie para desayunar.

También lee: