Los barajadores automáticos Deckmate 2 han sido hackeados

Con un pequeño aparato conectado por USB al barajador automático unos hackers han encontrado una importante brecha de seguridad en estos aparatos presentes en cientos de casinos de todo el mundo.

En septiembre del año pasado un terremoto azotó a la comunidad de poker mundial. Robbi Jade Lew y Garret Adelstein protagonizaron una de las manos más increíbles de la historia de nuestro juego sobre la que se estuvo especulando durante meses.

La famosa mano del J4 de Robbi dividió a la comunidad entre los que la acusaban de hacer trampas y los que defendían que no las hizo. En aquellos meses se comentó de todo. Hubo investigaciones por parte de Ingram y Polk. Se analizó la mano, se analizaron otras manos del streaming, Robbi se sometió al polígrafo y en general se teorizó largo y tendido sobre cómo podía Robbi haber hecho trampas. Hasta se encargó una investigación independiente para que evaluara la seguridad del stream que determinó que 'no había brechas de seguridad'.

Nadie podía imaginar en aquel entonces que ese informe independiente sería el que finalmente motivaría a unos hackers a probar que sí que había una brecha de seguridad. El informe había determinado que no había indicios de que se hubieran hecho trampas y que ‘el Deckmate era completamente seguro y no podía ser hackeado’. El informe declaraba también que en caso de que se hubieran producido las trampas estas deberían haber sido por una comunicación secreta entre Robbi y los miembros de producción del programa que ven las cartas en tiempo real.

¿Era esta la única forma posible de que se hubieran hecho trampas? Según aquel informe realizado por el Hustler Live Casino sí, pero Joseph Tartaro, un empresario estadounidense del sector de la seguridad se tomó esas afirmaciones casi por lo personal y se propuso demostrar que el Deckmate 2 era hackeable. Se lo tomó como un reto según comentó después.

Pues bien, el pasado 9 de agosto, en la Black Hat Security Conference celebrada en Las Vegas, Trataro y sus compañeros en IOActive, la empresa de la que es dueño, presentaron su propia investigación sobre el barajador automático de cartas más común en todos los casinos del mundo.

Mostraron como simplemente conectando un pequeño aparato por USB al barajador podían tener acceso a la cámara para saber el orden de barajado en todas las manos. El puerto USB del aparato está expuesto y cualquiera sentado justo al lado podría ser capaz de conectar el aparato.

¿Por qué hay una cámara en el interior del Deckmate? Porque el barajador se asegura de esta forma de que las 52 cartas de la baraja están presentes y que la baraja no ha sido comprometida. Pero justo esa cámara es la que le permite al aparato diseñador por Tartaro averiguar el orden de barajado y enviar esos datos por Bluetooth a un receptor cercano.

Con este aparato pueden saber fácilmente qué cartas tiene cada jugador en cada mano de la partida y les daría un control total sobre la misma. Aquí tenéis un vídeo de cómo funciona en el que se muestra cómo a pesar de que el dealer corte el mazo tras sacarlo del barajador, pueden saber el orden de las cartas al tomar el flop como referencia.

Tartaro ha asegurado que de momento no ha tenido tiempo de conseguir que el barajador coloque las cartas en el orden que él quiera, pero que sería posible conseguirlo. Ha declarado que este modo de hacer trampas sirve para cualquier juego de cartas en el que se vea involucrado este barajador, pero que es especialmente útil en el Texas Hold’em.

Con este sistema pueden saber exactamente el orden de barajado aunque el dealer corte el mazo cuando sale del barajador porque solo tienen que esperar al flop para poder introducirlo en su aplicación que usará el flop de referencia para saber las cartas de todos los jugadores como hemos visto en el vídeo.

Curiosamente, resulta que la primera versión del barajador automático, el Deckmate 1, no disponía de puerto USB por el que poder conectar ni cámara interna. Aun así, los investigadores dicen que el modelo anterior, que era el que realmente se usaba en el Hustler Live Casino, podía ser pirateado para hacer trampa en una partida si un empleado del casino o una persona de mantenimiento tuviera la oportunidad de abrir la caja del barajador y acceder a un chip particular que almacena su código.

En ese caso, a pesar de la falta de una cámara interna, el tramposo aún podría piratear el barajador para reordenar las cartas, o simplemente podría evitar que el Deckmate baraje la baraja cuando un crupier recoge las cartas de todos después de una mano, dándole al tramposo información sobre la ubicación de las cartas jugadas anteriormente.

La técnica de piratería de IOActive aprovechó las evidentes vulnerabilidades de seguridad que encontraron en los barajadores, dicen los investigadores: compraron sus propios Deckmates a vendedores de segunda mano y uno de ellos les dijo una contraseña utilizada para el mantenimiento o la reparación. Descubrieron que esta contraseña y otras que extrajeron del código de los Deckmates estaban configuradas en el barajador y no era fácil cambiarlas, lo que sugiere que probablemente funcionen en casi cualquier Deckmate. También descubrieron que la contraseña "raíz" más poderosa para controlar el barajador, que, como todas las contraseñas de Deckmate, se negaron a revelar públicamente, era relativamente débil.

Quizás lo más importante es que la técnica de piratería de los investigadores aprovechó otra vulnerabilidad en la forma en que los barajadores Deckmate están diseñados para evitar que se altere su código: el firmware de la máquina está diseñado para tomar un "hash" de su código al iniciarse, una función matemática que convierte el código en una cadena única de caracteres y luego verifica si esa cadena es diferente del valor hash conocido del código inalterado. Pero los investigadores de IOActive descubrieron que también podían simplemente cambiar ese valor hash, de modo que el hash del código alterado coincida y no se detecte ningún cambio en el código.

Los reguladores a nivel estatal en los EE.UU. también usan esa función de hashing para realizar controles de la integridad de las máquinas como un medio para evitar las trampas y garantizar que los casinos no reprogramen las máquinas de juego para obtener una ventaja. Pero los investigadores de IOActive dicen que podrían alterar fácilmente el Deckmate para pasar esa verificación incluso mientras ejecuta su código de trampa. “Básicamente, le estás preguntando a un dispositivo comprometido si está comprometido”, dice Tartaro.

La revista WIRED, que es la que publica el artículo original sobre esta noticia, se puso en contacto con Light & Wonder, la compañía que fabrica los Deckmates y este fue el comunicado que emitieron: "Ni el DeckMate 2 ni ningún otro barajador automático de cartas de L&W se han visto comprometidos en un casino. Además, las pruebas de IOActive no identificaron ningún defecto o defecto de diseño en el barajador de cartas DeckMate 2; y las pruebas de IOActive se realizaron en un entorno de laboratorio, en condiciones que no pueden reproducirse en un entorno de casino regulado y supervisado".

IOActive respondió que es imposible que sepan con seguridad que ninguno de sus Deckmates ha sido comprometido en algún casino del mundo, pero también mostraron unos emails en los que la compañía les agradecía sus averiguaciones comentándoles que iba a subsanar las brechas correspondientes.

En cualquier caso, IOActive reconoció que no había probado su aparato en un casino real y aunque ellos lo había construido en una Raspberry Pi, un atacante real podría hacerlo en un aparato mucho más pequeño del tamaño de una memoria USB. Los atacantes necesitarían un minuto para reiniciar el barajador una vez conectado el dispositivo, pero esto podría hacerse fácilmente en medio de una mano. Es cierto que hay una luz que indica el reinicio del barajador, pero incluso esto podría hacekarse.

La Nevada Gaming Control Board no ha contestado a las comunicaciones que han realizado desde WIRED, pero Mark Pace, vicepresidente de la International Gaming Standards Association, aseguró que mirarían con lupa los hallazgos de IOActive.