Vulnerabilidad CVE-2025-4053 en Tarjetas Mifare Clásicas
ID de CVE: CVE-2025-4053
Fecha de publicación: 26 de mayo de 2025
Proveedor: Estar en la tecnología
Producto: Tarjetas clásicas de Mifare
Versiones vulnerables: Todas
Tipo de vulnerabilidad (CWE): Almacenamiento en ClearText de información confidencial (CWE-312)
Fuente de informes: Informe de CERT Polska
Descripción:
Cert Polska ha alertado sobre una vulnerabilidad crítica en el software Be-Tech Mifare Classic Tards, dando lugar a la identificación de la vulnerabilidad CVE-2025-4053. Esta falla se debe al hecho de que los datos almacenados en la tarjeta Be-Tech Mifare Classic no están cifrados, es decir, se almacenan en ClearText. Esto significa que un atacante con acceso a una tarjeta de huésped de un hotel que utiliza este sistema puede potencialmente crear una tarjeta de llave maestra. Esta llave maestra tendría el poder de desbloquear todas las cerraduras del edificio, lo que resulta en una grave brecha de seguridad.
La vulnerabilidad afecta todos los sistemas que utilizan tarjetas Classic Mifare de Be-Tech y no existe ninguna versión que no esté afectada. Esto implica que todos los usuarios de este tipo de tarjetas son vulnerables y corren el riesgo de que sus sistemas de seguridad sean comprometidos.
Para mitigar esta vulnerabilidad, se recomienda un enfoque integral que implica reemplazar el software, el codificador, las tarjetas y los circuitos impresos (PCB) en las cerraduras afectadas. Esta medida es crucial para restaurar la seguridad y proteger los datos confidenciales de los usuarios.
Créditos:
Un agradecimiento especial a Sławomir Jasek de SmartLockPicking.com, quien llevó a cabo un informe de vulnerabilidad responsable, facilitando así la identificación y divulgación de la falla. Esta colaboración es vital en la lucha contra la inseguridad tecnológica y subraya la importancia de la divulgación responsable.
Para más información sobre el proceso de divulgación de vulnerabilidades coordinadas, se puede visitar CERT Polska.
Contexto Adicional:
El almacenamiento de datos en ClearText es una vulnerabilidad común y particularmente peligrosa en sistemas de seguridad. En el contexto de los sistemas de acceso, como aquellos utilizados en hoteles y edificios comerciales, este tipo de vulnerabilidad puede tener consecuencias devastadoras. La capacidad de un atacante para generar una tarjeta maestra permite accesos no autorizados, que pueden ser utilizados para el robo u otras actividades delictivas.
Es fundamental que los proveedores de tecnología, especialmente en el ámbito de sistemas de seguridad, adopten medidas robustas para garantizar que la información sensible esté adecuadamente protegida. El cifrado de datos es una de las formas más efectivas de prevenir que información crítica sea comprometida.
La divulgación de vulnerabilidades, como en este caso, sirve como un recordatorio de la fragilidad de la infraestructura de seguridad actual y la necesidad de constante evolución y mejora en los sistemas de protección de datos. La pronta reacción y responsabilidad en la divulgación pueden ayudar a mitigar riesgos a gran escala y fomentar una cultura de seguridad.
El caso de CVE-2025-4053 demuestra la importancia de la vigilancia continua y la adaptación en el desarrollo de tecnología de seguridad. Las organizaciones deben estar dispuestas a invertir en soluciones que fortalezcan su postura de seguridad y prevengan futuros incidentes de seguridad que comprometan la información crítica de los usuarios y las instalaciones.