Los piratas informáticos buscaron una puerta trasera en cajas fuertes de alta seguridad y ahora pueden abrirlas en segundos.

Hace aproximadamente dos años , los investigadores de seguridad James Rowley y Mark Omo sintieron curiosidad por un escándalo en el mundo de las cajas fuertes electrónicas : Liberty Safe, que se promociona como "el fabricante número uno de cajas fuertes para armas y hogares de servicio pesado de Estados Unidos", aparentemente le había dado al FBI un código que permitía a los agentes abrir la caja fuerte de un sospechoso de un delito en respuesta a una orden relacionada con la invasión del edificio del Capitolio de los Estados Unidos el 6 de enero de 2021 .

Dejando la política a un lado, Rowley y Omo se quedaron atónitos al leer que era tan fácil para las fuerzas del orden penetrar una caja metálica cerrada —ni siquiera un dispositivo conectado a internet— que solo el propietario debería tener el código para abrirla. "¿Cómo es posible que exista este producto de seguridad física y que alguien más tenga las llaves del reino?", pregunta Omo.

Así que decidieron intentar averiguar cómo funcionaba esa puerta trasera. En el proceso, descubrirían algo mucho más complejo: otra forma de puerta trasera diseñada para permitir a cerrajeros autorizados abrir no solo las cajas fuertes Liberty, sino también las cerraduras Securam Prologic de alta seguridad utilizadas en muchas de las cajas fuertes de Liberty y en las de al menos otras siete marcas. Aún más alarmante, descubrieron una forma en que un hacker podía explotar esa puerta trasera —diseñada para ser accesible solo con la ayuda del fabricante— para abrir una caja fuerte por sí mismo en segundos. Durante su investigación, también encontraron otra vulnerabilidad de seguridad en muchas versiones más recientes de las cerraduras Securam que permitiría a un ladrón de cajas fuertes digital insertar una herramienta en un puerto oculto de la cerradura y obtener al instante el código de desbloqueo.

En la conferencia de hackers Defcon en Las Vegas hoy, Omo y Rowley hicieron públicos sus hallazgos por primera vez, demostrando en el escenario sus dos métodos distintos para abrir cajas fuertes electrónicas vendidas con cerraduras Securam ProLogic, que se utilizan para proteger todo, desde armas de fuego personales y dinero en efectivo en tiendas minoristas hasta narcóticos en farmacias.

Si bien ambas técnicas presentan vulnerabilidades de seguridad flagrantes, Omo afirma que la que explota una función diseñada como método legítimo de desbloqueo para cerrajeros es la más extendida y peligrosa. "Este ataque es tal que, si tuviera una caja fuerte con este tipo de cerradura, podría obtener el código al instante sin necesidad de hardware especializado", dice Omo. "De repente, según nuestras pruebas, parece que se puede acceder a casi cualquier cerradura Securam Prologic del mundo".

Omo y Rowley demuestran sus dos métodos para abrir cajas fuertes en los dos videos a continuación, que los muestran realizando las técnicas en su propia caja fuerte personalizada con una cerradura Securam ProLogic estándar y sin modificaciones:

Omo y Rowley afirman que informaron a Securam sobre sus técnicas de apertura de cajas fuertes en la primavera del año pasado, pero que hasta ahora han mantenido en secreto su existencia debido a las amenazas legales de la empresa. «Remitiremos este asunto a nuestro abogado por difamación comercial si optan por la vía del anuncio público o la divulgación», escribió un representante de Securam a los dos investigadores antes de la Defcon del año pasado, donde inicialmente planeaban presentar su investigación.

Solo después de obtener representación legal pro bono del Proyecto de Derechos de los Programadores de la Fundación Frontera Electrónica, decidieron llevar adelante su plan de hablar sobre las vulnerabilidades de Securam en Defcon. Omo y Rowley afirman que, incluso ahora, están teniendo cuidado de no revelar suficientes detalles técnicos como para que otros puedan replicar sus técnicas, mientras intentan advertir a los propietarios de cajas fuertes sobre dos vulnerabilidades diferentes que existen en muchos de sus dispositivos.

Cuando WIRED contactó a Securam para obtener comentarios, el director ejecutivo de la compañía, Chunlei Zhou, respondió en un comunicado. «Las 'vulnerabilidades' específicas alegadas por Omo y Rowley ya son bien conocidas por los profesionales del sector y, de hecho, también afectan a otros proveedores de cerraduras de seguridad que utilizan chips similares», escribe Zhou. «Llevar a cabo cualquier ataque basado en estas vulnerabilidades requiere conocimientos, habilidades y equipos especializados, y no tenemos constancia de ningún cliente al que se le haya desactivado alguna cerradura de seguridad mediante este ataque».

La declaración de Zhou continúa señalando otras formas en las que se pueden abrir las cerraduras de las cajas fuertes, desde perforaciones y cortes hasta el uso de un dispositivo de cerrajería llamado Pequeña Caja Negra que explota las vulnerabilidades de algunas marcas de cerraduras de cajas fuertes electrónicas.

Omo y Rowley responden que las vulnerabilidades que encontraron no eran conocidas públicamente; una de las dos no requiere equipo especial, a pesar de la afirmación de Zhou; y ninguna de las otras técnicas que menciona Zhou representa una falla de seguridad tan grave como sus hallazgos sobre las cerraduras Securam ProLogic. Los métodos de fuerza bruta que Zhou menciona, como cortar y taladrar, son mucho más lentos y menos sigilosos, o, como la Pequeña Caja Negra, solo están disponibles para cerrajeros y no se ha demostrado públicamente que puedan ser explotados por hackers no autorizados.

Zhou añadió en su comunicado que Securam corregirá las vulnerabilidades que Omo y Rowley encontraron en los futuros modelos de la cerradura ProLogic. «La seguridad del cliente es nuestra prioridad y hemos comenzado el proceso de creación de productos de nueva generación para frustrar estos posibles ataques», escribe. «Esperamos tener nuevas cerraduras en el mercado para finales de año».

En una llamada posterior, el director de ventas de Securam, Jeremy Brookes, confirmó que Securam no tiene previsto solucionar la vulnerabilidad de las cerraduras que ya se utilizan en las cajas fuertes de sus clientes, pero sugiere a los propietarios de cajas fuertes preocupados que compren una nueva cerradura y reemplacen la de su caja fuerte. "No vamos a ofrecer un paquete de firmware que la actualice", afirma Brookes. "Les ofreceremos un producto nuevo".

Brookes agrega que cree que Omo y Rowley están “señalando” a Securam con la intención de “desacreditar” a la empresa.

Omo responde que esa no es su intención en absoluto. «Intentamos concienciar al público sobre las vulnerabilidades de una de las cerraduras de seguridad más populares del mercado», afirma.

Además de Liberty Safe, las cerraduras Securam ProLogic son utilizadas por una amplia variedad de fabricantes de cajas fuertes, como Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists y las empresas de cajas fuertes para farmacias Cennox y NarcSafe, según la investigación de Omo y Rowley. Estas cerraduras también se encuentran en las cajas fuertes que CVS utiliza para almacenar narcóticos y en varias cadenas de restaurantes estadounidenses para guardar efectivo.

Rowley y Omo no son los primeros en expresar su preocupación por la seguridad de las cerraduras Securam. En marzo del año pasado, el senador estadounidense Ron Wyden escribió una carta abierta a Michael Casey, entonces director del Centro Nacional de Contrainteligencia y Seguridad, instándolo a aclarar a las empresas estadounidenses que las cerraduras de seguridad fabricadas por Securam, propiedad de una empresa matriz china, tienen la capacidad de restablecerse automáticamente. Esta capacidad, escribió Wyden, podría utilizarse como una puerta trasera, un riesgo que ya había llevado a la prohibición de las cerraduras Securam para el uso del gobierno estadounidense, al igual que todas las demás cerraduras con restablecimiento automático, incluso cuando son ampliamente utilizadas por empresas privadas estadounidenses.

En respuesta a conocer la investigación de Rowley y Omo, Wyden escribió en una declaración a WIRED que los hallazgos de los investigadores representan exactamente el riesgo de una puerta trasera, ya sea en cajas fuertes o en software de cifrado, sobre el que ha tratado de llamar la atención.

“Los expertos llevan años advirtiendo que nuestros adversarios explotarán las puertas traseras; sin embargo, en lugar de actuar según mis advertencias y las de los expertos en seguridad, el gobierno ha dejado al público estadounidense en una situación vulnerable”, escribe Wyden. “Precisamente por eso, el Congreso debe rechazar las peticiones de nuevas puertas traseras en la tecnología de cifrado y oponerse a todos los esfuerzos de otros gobiernos, como el del Reino Unido , para obligar a las empresas estadounidenses a debilitar su cifrado para facilitar la vigilancia gubernamental”.

La investigación de Rowley y Omo partió de la misma preocupación: que un método de desbloqueo en cajas fuertes, poco divulgado, pudiera representar un riesgo de seguridad mayor. Inicialmente, buscaron el mecanismo detrás de la puerta trasera de Liberty Safe que había provocado una reacción negativa contra la empresa en 2023, y encontraron una respuesta relativamente sencilla: Liberty Safe guarda un código de restablecimiento para cada caja fuerte y, en algunos casos, lo pone a disposición de las fuerzas del orden estadounidenses.

Desde entonces, Liberty Safe ha escrito en su sitio web que ahora requiere una citación, una orden judicial u otro proceso legal obligatorio para entregar ese código maestro y que también eliminará su copia del código a pedido del propietario de la caja fuerte.

Rowley y Omo no encontraron ninguna falla de seguridad que les permitiera abusar de esa puerta trasera específica, ideal para las fuerzas del orden. Sin embargo, al examinar la cerradura Securam ProLogic, su investigación sobre la versión de gama alta de los dos tipos de cerradura Securam utilizados en los productos Liberty Safe reveló algo más intrigante. Las cerraduras cuentan con un método de reinicio documentado en su manual, pensado, en teoría, para que lo utilicen los cerrajeros que ayudan a los propietarios de cajas fuertes que han olvidado su código de desbloqueo.

Introduzca un "código de recuperación" en la cerradura (configurado por defecto en "999999") y esta utilizará ese valor, otro número almacenado en la cerradura, llamado código de cifrado, y una tercera variable aleatoria para calcular un código que se muestra en la pantalla. Un cerrajero autorizado puede leerle ese código a un representante de Securam por teléfono, quien, a su vez, utiliza ese valor y un algoritmo secreto para calcular un código de restablecimiento que el cerrajero puede introducir en el teclado para establecer una nueva combinación de desbloqueo.

Sin embargo, Omo y Rowley descubrieron que, analizando el firmware de Securam ProLogic, podían encontrar todo lo necesario para calcular el código de reinicio ellos mismos. "No hay seguridad de hardware", afirma Rowley. "Así que pudimos aplicar ingeniería inversa a todo el algoritmo secreto simplemente leyendo el firmware de la cerradura". El método resultante para abrir cajas fuertes requiere poco más que introducir unos pocos números en un script de Python que escribieron. Llaman a esta técnica ResetHeist.

Los investigadores señalan que los propietarios de cajas fuertes pueden evitar esta técnica ResetHeist cambiando el código de recuperación o el código de cifrado de su cerradura. Sin embargo, Securam no recomienda esta medida de seguridad en ninguna documentación de usuario que los investigadores hayan podido encontrar en línea, solo en un manual para algunos fabricantes y cerrajeros. En otro seminario web de Securam que Omo y Rowley encontraron, Securam señala que se pueden cambiar los códigos, pero que no es necesario, y que estos "normalmente" nunca se cambian. En todas las cerraduras que los investigadores probaron, incluyendo unas cuantas que compraron de segunda mano en eBay, los códigos no se habían cambiado. "No hemos comprado ninguna cerradura en la que el método de recuperación no haya funcionado", afirma Omo.

La segunda técnica que desarrollaron los investigadores, llamada CodeSnatch, es más sencilla. Al retirar la batería de una cerradura Securam ProLogic e insertar una pequeña herramienta portátil, fabricada con una minicomputadora Raspberry Pi, en un puerto de depuración expuesto en su interior, pueden extraer una combinación de "supercódigo" de la cerradura, que se muestra en la pantalla de la herramienta y se puede usar para abrirla inmediatamente.

Los investigadores descubrieron el truco de CodeSnatch aplicando ingeniería inversa al chip Renesas, que funciona como procesador principal de la cerradura. Esta tarea se facilitó enormemente gracias al trabajo de un grupo llamado fail0verflow, que había publicado su análisis del mismo chip Renesas como parte de sus esfuerzos por hackear la PlayStation 4, que también utiliza ese procesador. Omo y Rowley crearon su herramienta para reprogramar el firmware del chip y volcar toda su información a través del puerto de depuración, incluyendo el "supercódigo" cifrado y la clave, también almacenada en el chip, que lo descifra. "Realmente no es tan complicado", afirma Rowley. "Nuestra pequeña herramienta lo hace y luego te dice cuál es el supercódigo".

Acceder al código de la cerradura a través de su puerto de depuración requiere una contraseña. Pero Omo y Rowley afirman que la contraseña era absurdamente simple y que la adivinaron con éxito. Descubrieron que, en una cerradura Securam ProLogic más reciente, fabricada en marzo de este año, Securam había cambiado la contraseña, pero lograron recuperarla mediante una técnica de "fallo de voltaje": soldando un interruptor al regulador de voltaje del chip, pudieron manipular su voltaje eléctrico en el momento exacto en que realizaba la verificación de contraseña para omitirla y luego volcar el contenido del chip, incluida la nueva contraseña.

Además de Securam, WIRED contactó a 10 fabricantes de cajas fuertes que parecen usar cerraduras Securam ProLogic en sus cajas fuertes, así como a CVS. La mayoría no respondió, pero un portavoz de High Noble Safe Company escribió en un comunicado que la consulta de WIRED fue la primera en conocer las vulnerabilidades de Securam, y que ahora está revisando la seguridad de las cerraduras utilizadas en su línea de productos y preparando una guía para los clientes que incluye "medidas de seguridad física adicionales o posibles opciones de reemplazo".

Un representante de Liberty Safe también señaló que la compañía desconocía previamente las vulnerabilidades de Securam. "Actualmente estamos investigando este problema con SecuRam y haremos todo lo posible para proteger a nuestros clientes", declaró el portavoz, "incluyendo la validación de otros posibles proveedores de cerraduras y el desarrollo de un nuevo sistema de cerraduras patentado".

Un portavoz de CVS se negó a comentar sobre “protocolos o dispositivos de seguridad específicos”, pero escribió que “la seguridad de nuestros empleados y pacientes es una máxima prioridad y estamos comprometidos a mantener los más altos estándares de seguridad física”.

Rowley y Omo afirman que es posible parchar las fallas de seguridad de las cerraduras Securam; de hecho, su propia herramienta CodeSnatch podría utilizarse para actualizar el firmware de las cerraduras. Sin embargo, cualquier solución tendría que implementarse manualmente, cerradura por cerradura, un proceso lento y costoso.

Aunque Omo y Rowley no han publicado todos los detalles técnicos ni ningún código de prueba de concepto de sus técnicas, advierten que otros con intenciones menos benévolas aún podrían encontrar la manera de replicar sus trucos para abrir cajas fuertes. "Si tienes el hardware y eres experto en la materia, esto tomaría aproximadamente una semana", dice Omo.

Él y Rowley decidieron hacer pública su investigación a pesar de ese riesgo para concienciar a los propietarios de cajas fuertes de que sus cajas metálicas cerradas podrían no ser tan seguras como creen. En términos más generales, Omo afirma que querían llamar la atención sobre las amplias deficiencias en los estándares estadounidenses de ciberseguridad para productos de consumo. Las cerraduras Securam están certificadas por Underwriters Laboratory, señala, pero presentan fallos de seguridad críticos que serán difíciles de solucionar. (Underwriters Laboratory no respondió de inmediato a la solicitud de comentarios de WIRED).

Mientras tanto, dicen, los propietarios de cajas fuertes deberían al menos conocer los defectos de sus cajas fuertes y no confiar en una falsa sensación de seguridad.

“Queremos que Securam solucione esto, pero sobre todo queremos que la gente sepa lo grave que puede ser”, dice Omo. “Las cerraduras electrónicas tienen componentes electrónicos en su interior. Y los componentes electrónicos son difíciles de proteger”.