Llegas a un hotel. No a uno cualquiera, no. A uno de cinco estrellas que ocupa las últimas 28 plantas de un rascacielos de 100 pisos. Al entrar en tu habitación, encuentras una tableta con una aplicación que te permitirá controlar aspectos como la temperatura, las luces, la televisión y hasta las persianas.

Te sorprendes, claro. Y también te admiras por cómo avanza la tecnología. Esto es, sin lugar a dudas, el internet de las cosas hecho hotel, la domótica llevada a una tableta. Probablemente, si en algún momento de tu estancia todo empezara a cambiar, a ir a peor, simplemente pensarías que hay un fallo en el sistema. Sin embargo, puede no ser así. Tal vez sea un hacker quien está controlando ahora tu habitación.

Lujo chino

El hotel de cinco estrellas es real, como también lo son los iPad 2 que esperan en sus habitaciones a los huéspedes. Y sí, el hacker que ha sido capaz de controlar las habitaciones de otros también es de carne y hueso, y es español.

Su nombre es Jesús Molina, es consultor en una empresa de San Francisco y durante su estancia a principios de este año en Shenzhen, una ciudad china situada a unos 50 minutos de Hong Kong, descubrió cómo controlar a distancia todas las habitaciones de su hotel.

hotel chino hackeado

El hotel no es otro que el St. Regis Shenzhen, un lujoso establecimiento de cinco estrellas que, como hemos dicho, recibe a sus clientes con un iPad 2 con el que se controlan las características de las habitaciones.

Tal y como ha contado el propio Molina en su charla de la edición de este año de Black Hat, la mayor conferencia anual sobre seguridad informática, él mismo consiguió controlar las características del resto de habitaciones del hotel.

‘Hackeo’ de luces sin mala intención

Aunque él logró manipular una luz que tienen las habitaciones del St. Regis en la puerta para indicar el clásico “No molestar”, Molina asegura que se puede modificar cualquier característica de la habitación, no solo estando en el propio hotel, sino también desde fuera del edificio o incluso desde otro país.

Todo se debe a una serie de fallos en la seguridad del sistema que un atacante podría  aprovechar para cambiar la temperatura del termostato de las habitaciones, apagar y encender las luces, cambiar de canal en la televisión o subir y bajar persianas.

habitación hotel hackeado

El principal fallo se encuentra en que esta lujosa red de domótica hostelera está basada en KNX, un estándar de los años 90 anticuado e inseguro. Eso, sumado a la conexión de todos los dispositivos a la misma conexión WiFi a la que se enganchan los clientes, permitió a Molina desarrollar un programa con el que manipular las habitaciones del resto del hotel.

‘Hackers’ con peores intenciones que Molina podrían aprovechar también esta brecha en la seguridad del hotel. Aunque pueda parecer que subir y bajar persianas es tan solo una broma de mal gusto, poner el termostato a 40 grados en mitad de la noche en una habitación con personas mayores podría tener nefastas consecuencias.

JesusMolina

Por si fuera poco, Molina descubrió también que no era necesario estar conectado a la red WiFi del hotel para acceder al sistema de control de habitaciones. De hecho, cualquier ‘hacker’ podría acceder desde cualquier parte del mundo, y es que la red no contaba con un sistema de autenticación de los dispositivos. En otras palabras, se podía acceder a la red domótica sin necesidad de hacerlo a través de los iPads que el hotel pone a disposición de sus clientes.

Un ‘hackeo’ español de altos vuelos

El investigador en seguridad español Rubén Santamarta también ha protagonizado una charla en Black Hat a cuenta de otro descubrimiento inquietante. Este ‘hacker’ leonés afirma haber encontrado una forma de atacar los sistemas de navegación de un avión comercial a partir de la conexión a Internet que algunas aerolíneas ponen a disposición de los pasajeros.

Algunas de las compañías que presuntamente se verían afectadas por la vulnerabilidad han minimizado la importancia de estos agujeros que, según ellas, no comprometen la seguridad de las personas.

Sin lugar a dudas, el Internet de las cosas ha llegado, pero con protocolos que no estaban pensados para ello y cuyos fallos de seguridad representan, a día de hoy, un gran peligro.