• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

    IMPORTANTE: Asegúrate de que tu dirección de email no está en la lista Robinson (no publi), porque si lo está no podremos validar tu alta.

Octubre mes de la Ciberseguridad - Día 16: ¿Es segura tu oficina o tu hotel?

  • Iniciador del hilo Iniciador del hilo jorgesdb
  • Fecha de inicio Fecha de inicio
jorgesdb

jorgesdb

Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Las llaves físicas están cambiando: muchas oficinas y hoteles usan tarjetas NFC / RFID y credenciales digitales para abrir puertas. Son cómodas, pero también introducen nuevos vectores de riesgo: tarjetas clonadas, lectores falsos o dispositivos que imitan señales. Es importante entender ventajas, límites y cómo mejorar la seguridad.

¿Qué puede pasar con las tarjetas NFC / RFID?​

  • Algunas tarjetas baratas (tipo «proximity» de baja seguridad) transmiten un identificador estático (UID) que puede ser copiado si alguien dispone del lector apropiado.
  • Existen dispositivos comerciales de investigación y hobby que permiten leer señales RFID/NFC de corto alcance. Un atacante con acceso físico (por ejemplo, alguien que se acerca a una tarjeta en el bolsillo o a una tarjeta dejada en recepción) podría capturar información si la tarjeta es vulnerable.
  • Las credenciales que no usan cifrado ni autenticación mutua son las más susceptibles: un lector que solo confía en el UID es débil por diseño.
Nota importante: clonar o manipular tarjetas o sistemas de control de acceso sin permiso es ilegal y puede acarrear responsabilidades penales.

¿Es más segura una llave tradicional o una tarjeta?​

Depende del contexto y de la implementación.

Llave mecánica

  • Ventajas: simple, no depende de energía ni de sistemas, difícil de clonar a distancia (aunque existen llaves duplicadas).
  • Desventajas: si se pierde, la rekey (cambiar la cerradura) es costosa y lenta; no queda registro automático de entradas; copia física posible en cerrajerías poara la mayoría de llaves.
Tarjeta NFC/RFID

  • Ventajas: se puede revocar o desactivar la credencial sin cambiar cerraduras; permite control de acceso granular (horarios, zonas) y registro de eventos (quién entró y cuándo). Ideal para oficinas y hoteles por gestión centralizada. Algunos hoteles las están cambiando por una app en el móvil.
  • Desventajas: si se usan tarjetas y lectores inseguros (UID-only), son clonables; algunos estándares antiguos carecen de cifrado; requieren infraestructura (controlador, energía, mantenimiento).
Conclusión práctica: la mejor opción combina lo mejor de ambos mundos: control de acceso electrónico moderno (credenciales seguras + logs + revocación rápida) con buenas políticas físicas (cerraduras mecánicas robustas y procesos de gestión de llaves).

Qué hace que una tarjeta sea realmente más segura​

Busca estas características en el sistema de control de acceso:

  • Credenciales con autenticación mutua y cifrado.
  • No confiar únicamente en el UID: que el lector y la tarjeta realicen un protocolo criptográfico.
  • Gestión centralizada de credenciales con posibilidad de revocar/rotar claves y expiración automática (ideal en hoteles para credenciales de corta estancia).
  • Registro de entradas y alertas en tiempo real (si alguien fuerza una puerta, intentos fallidos repetidos, etc.).
  • Lectores con protección anti-tamper y firmware firmado.
  • Uso de autenticación multifactor cuando el riesgo lo justifica (p. ej. tarjeta + PIN o tarjeta + biometría).



En este vídeo se puede ver lo rápido que ha sido clonar mi tarjeta de acceso a mi despacho en una oficina de co-working. Si bien cuentan con cámaras de seguridad y suele haber una persona de seguridad fuera del horario de oficina, resulta extremadamente sencillo el acceso usando este dispositivo Flipper Zero (también llamado el Tamagotchi de los hackers), cualquiera con 200€ puede tener.

Si en lugar de ser mi tarjeta, fuese la de cualquier empleado de mantenimiento o limpieza, el acceso sería total. Lo mismo pasa con muchos hoteles, algunos muy conocidos y que no implementan los mismos dispositivos en todos sus edificios.

Dispositivos «tipo Flipper» y alternativas​

Hay gadgets de hobby y herramientas de investigación que permiten explorar señales RFID/NFC. Flipper Zero es un ejemplo conocido en la comunidad por su versatilidad y por ser una plataforma abierta orientada al “hacking ético” y al uso legítimo. Existen otras herramientas y hardware usados por investigadores, fabricantes y pentesters para auditar sistemas y mejorar defensas, aunque también pueden caer en malas manos, es solo una cuestión de dinero:

Algunas alternativas y herramientas de investigación:

  • Proxmark3 (herramienta de investigación RFID muy extendida en auditorías).
  • ChameleonMini (emulador/depurador para pruebas autorizadas).
  • ACR122U / lectores NFC USB (lectores comerciales para desarrolladores).
  • RFIDler (herramienta de desarrollo/experimentos con RFID).
  • HackRF / herramientas SDR (radio definida por software) — más generalistas para investigadores RF.
  • YARD Stick One (transceptores sub-GHz para pruebas autorizadas).
Rstos equipos existen y son usados por investigadores y por atacantes.

Usar estos equipos para acceder a sistemas sin permiso es ilegal. Su uso adecuado es en pruebas autorizadas y auditorías para reforzar la seguridad.

Medidas concretas para reforzar la seguridad en oficina y hotel​

  1. Elige credenciales seguras y lectores con cifrado
    • Evita tarjetas UID-only. Pide soluciones con autenticación mutua y cifrado.
  2. Gestión y políticas de credenciales
    • Emite credenciales con caducidad (especialmente en hoteles y visitas).
    • Revoca inmediatamente tarjetas perdidas.
    • Lleva inventario y control de duplicados autorizados.
  3. Registros y monitorización
    • Activa logging y alertas por accesos anómalos (intentos repetidos, accesos fuera de horario).
    • Revisa los logs periódicamente y conserva históricos para auditoría.
  4. Multifactores y controles adicionales
    • Donde sea necesario, combina tarjeta + PIN, tarjeta + biometría o tarjeta + app móvil.
    • Para accesos críticos, considerar llaves digitales con credenciales basadas en certificados.
  5. Protección física y de hardware
    • Usa lectores con protección anti-tamper y firmware firmado.
    • Coloca puertas con sensores de bloqueo y detectores de manipulación.
  6. Segmentación y redundancia
    • Sistemas críticos separados de otras redes; evita que un fallo en la red pública comprometa el control de accesos.
    • Plan de contingencia para fallos de energía (cerraduras con desbloqueo seguro).
  7. Auditorías periódicas y pruebas autorizadas
    • Contrata auditorías profesionales (pentests) en las que se pruebe la resistencia del sistema frente a clonación o ataques físicos.
    • Actualiza firmware y parches de lectores regularmente.
  8. Formación del personal
    • El personal de recepción y seguridad debe saber qué hacer con tarjetas perdidas y cómo validar identidades.
    • Protocolos claros para entrega/recogida de credenciales.
  9. Para hoteles: credenciales temporales y gestión de check-in
    • Generar credenciales con vencimiento automático.
    • Confirmar identidad en el check-in y evitar envío de credenciales por canales inseguros.
 
  • Me gusta
Reacciones: oldnavitimer

Hilos similares

jorgesdb
Octubre mes de la Ciberseguridad - Día 11: Bloquea tu ordenador, móvil y tablet
Respuestas
1
Visitas
89
Asenna.
Asenna.
jorgesdb
Octubre mes de la Ciberseguridad - Día 1: Crea y protege tus contraseñas de forma segura
Respuestas
4
Visitas
193
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 4: No uses Wi-Fi público sin protección
Respuestas
5
Visitas
224
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 5: Haz copias de seguridad periódicas
Respuestas
2
Visitas
190
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 13: Comprueba si tu correo fue filtrado (y qué hacer si aparece en una fuga)
Respuestas
0
Visitas
82
jorgesdb
jorgesdb
Atrás
Arriba Pie