¿Qué tan segura es la llave de la habitación móvil de su hotel?

Cuando llegue a su hotel, habrá esperado en el aeropuerto, en el avión y en tránsito. Registrarse en su habitación también puede significar una espera, pero no si su hotel ofrece check-in móvil y una llave de habitación digital.

Algunos hoteles ofrecen estas funciones a través de sus aplicaciones móviles, lo que permite a los huéspedes pasar por alto la recepción y dirigirse directamente a su habitación sin esperar. La puerta de la habitación se abre con la llave del móvil cuando el teléfono toca la cerradura de la puerta.

Las claves móviles son convenientes para ahorrar tiempo, pero como nueva tecnología, puede que no estén exentas de vulnerabilidades. La seguridad de la función de clave móvil depende de las medidas que los hoteles o proveedores de claves móviles tengan implementadas para proteger su sistema de claves electrónicas.

La funcionalidad de la función de clave móvil varía según el proveedor y el hotel. Generalmente, la configuración de Bluetooth de su teléfono debe estar activada para que funcionen las teclas. Estas llaves electrónicas también pueden brindar acceso a otras áreas de la propiedad, como el gimnasio, el salón, el ascensor o el estacionamiento. También es posible que pueda realizar otras tareas, como atender una llamada, mientras usa la tecla.

La función clave móvil está disponible en más dispositivos móviles en una lista cada vez mayor de propiedades hoteleras:

• Los hoteles Marriott y SPG lo ofrecen en más de 400 propiedades

• Hilton ofrece su clave digital en más de 1,000 propiedades

• Intercontinental Hotels and Resorts está probando la función

• Radisson RED, una marca de hotel de estilo de vida, ofrece la opción de llave móvil en tres propiedades

Otros hoteles tienen la opción de ofrecer la función a través de proveedores como OpenKey que ofrecen software de aplicaciones móviles para hoteles.

El FBI dice que no ha visto ningún caso de sistemas de claves móviles de hoteles comprometidos en los EE. UU., Pero los ataques a hoteles no son desconocidos. El año pasado, el Romantik Seehotel Jagerwirt hotel en Austria fue noticia cuando los piratas informáticos atacaron su sistema de llave electrónica, bloqueando el hotel fuera de su sistema informático e impidiendo que la gerencia acceda al sistema de reservas. En ese momento, el hotel utilizaba tarjetas de acceso deslizables. Los nuevos huéspedes no podían usar sus tarjetas y los recepcionistas no podían crear nuevas claves para ellos.

Según los informes, los piratas informáticos enviaron por correo electrónico una solicitud de rescate al hotel exigiendo dos bitcoins para devolver el acceso de la gerencia al sistema de llave electrónica. El gerente del hotel, Christoph Brandstatter, dice que se pagó el rescate y que desde entonces el hotel ha vuelto a las llaves tradicionales.

Esta táctica de «ransomware» se ha movido hacia dispositivos conectados al sistema como cerraduras en los últimos años, según Michel Chamberland, líder de práctica en Norteamérica de SpiderLabs en Trustwave, una compañía de seguridad que protege a las empresas de los delitos cibernéticos. Chamberland es un supuesto «hacker ético»; con su equipo, piratea las llaves y cerraduras móviles de los clientes del hotel para localizar vulnerabilidades antes de que lo hagan los hackers.

En una de las cerraduras que miramos, pudimos restablecer la contraseña administrativa sin tener autorización para hacerlo, dice Chamberland. Pudimos administrar todo el entorno. Y se introducen nuevas vulnerabilidades con actualizaciones de las aplicaciones móviles, agrega.

Casi todas las cerraduras digitales en el espacio del hotel tienen un cifrado que refleja la seguridad institucional financiera, según TJ Person, fundador y director ejecutivo del proveedor de claves móviles OpenKey. La compañía tiene una compañía de seguridad en la nube que monitorea sus servidores las 24 horas del día para ayudar a encontrar y corregir vulnerabilidades.

Ted Harrington, socio ejecutivo de la firma de seguridad Independent Security Evaluators, con sede en Maryland, recomienda que los fabricantes de estas soluciones realicen evaluaciones de seguridad de sus sistemas al mismo nivel que lo haría un atacante.

«Existe una percepción errónea de que el cifrado por sí solo ofrece seguridad, y eso es fundamentalmente falso», dice Harrington. Sugiere pensar en el cifrado como la cerradura de su casa. Si la ventana delantera de su casa está abierta, un atacante no se molestará en romper la cerradura de la puerta; entrará por la ventana.

Una tarjeta de acceso tradicional generalmente sigue siendo una opción para los huéspedes que la prefieren, pero no es necesariamente una opción más segura que una llave móvil. Algunas tarjetas magnéticas pueden clonarse de forma inalámbrica y leerse con antenas, según Chamberland. Y, por supuesto, el robo físico es un riesgo, especialmente si los huéspedes del hotel mantienen juntos su tarjeta de acceso y el número de habitación por conveniencia (toda la información que los ladrones necesitan para acceder a una habitación).

Claro, los teléfonos inteligentes también pueden ser robados, pero configurar un bloqueo de teléfono y requerir un inicio de sesión por separado para la aplicación de llave móvil puede proporcionar una protección adicional que no viene con las tarjetas de llave.