Quién es Kastle Systems y por qué es difícil conseguir repuestos
Kastle Systems es uno de los mayores proveedores de acceso físico gestionado en Norteamérica, operando control de acceso conectado a la nube principalmente en bienes raíces comerciales: torres de oficinas, espacios de co-working y edificios de múltiples inquilinos. A diferencia de los sistemas convencionales donde un edificio instala hardware y gestiona credenciales de forma independiente, Kastle mantiene el control de extremo a extremo: los lectores, la plataforma de software y la cadena de suministro de credenciales son administrados a través de los contratos de servicio de Kastle.
Ese modelo tiene ventajas operativas para los propietarios de edificios, pero crea un punto de fricción familiar para los inquilinos: cuando un empleado pierde un llavero o una empresa incorpora un lote de personal nuevo, la solicitud se eleva a través de la administración del edificio a Kastle. Los plazos de entrega, las tarifas por unidad y los umbrales de pedido mínimo son dictados por el acuerdo de servicio en lugar de por los precios del mercado abierto. Para los equipos de instalaciones con cambios urgentes de personal, esa dependencia puede ralentizar considerablemente el aprovisionamiento de acceso.
La razón subyacente por la que Kastle puede mantener este modelo es el formato en sí. El formato Kastle Systems de 32 bits utiliza una estructura de datos y un esquema de paridad propietarios que no están documentados públicamente y no son compatibles con las tarjetas compatibles H10301 de 26 bits disponibles de proveedores de propósito general. Sin conocer el diseño exacto del campo, un proveedor no puede producir una credencial funcional, que es precisamente la razón por la cual los llaveros Kastle compatibles históricamente no han estado disponibles fuera del propio canal de Kastle.
El formato Kastle de 32 bits: Código de Instalación, Número de Tarjeta y Nivel de Emisión
Las credenciales Kastle operan a 125 kHz, la misma frecuencia portadora utilizada por el ubicuo estándar Wiegand de 26 bits. Esa similitud superficial es donde termina el parecido. El formato Kastle tiene 32 bits de ancho y contiene tres campos de datos funcionales: un código de instalación que identifica el sitio o edificio, un número de tarjeta que identifica la credencial individual y un campo de Nivel de Emisión que no tiene equivalente en los formatos de proximidad estándar.
El campo de Nivel de Emisión es significativo porque permite a Kastle —y, por extensión, al controlador de acceso— diferenciar entre múltiples credenciales que comparten el mismo número de tarjeta emitidas a la misma persona a lo largo del tiempo. Cuando se reporta la pérdida de un llavero y se emite un reemplazo con un nivel de emisión incrementado, se puede instruir al controlador para que rechace la credencial anterior sin requerir un cambio completo del número de tarjeta en todo el horario de acceso. Este es un control administrativo útil en un entorno de servicio gestionado donde el proveedor, no el inquilino, controla el back end.
Los bits de paridad específicos de Kastle se añaden a la carga útil de datos para validar la integridad de la transmisión. El esquema de paridad no es la paridad par/impar directa de H10301; está adaptado al diseño de 32 bits y hará que un lector rechace cualquier credencial donde el cálculo de paridad no coincida. Esta es una de varias razones por las que simplemente programar un chip LF regrabable T5577 con un patrón de bits adivinado no produce una credencial funcional; la paridad debe calcularse correctamente contra los valores reales del código de instalación y el número de tarjeta. Nuestra guía sobre códigos de instalación personalizados y formatos propietarios cubre cómo los esquemas de paridad no estándar encajan en el panorama más amplio de la ingeniería de credenciales de 125 kHz.
El formato se sitúa firmemente en el proximidad LF de 125 kHz nivel — no hay autenticación criptográfica, ni desafío-respuesta mutuo, ni canal cifrado entre el llavero y el lector. El modelo de seguridad depende completamente de la oscuridad del formato y del canal de servicio gestionado que restringe el suministro de credenciales.
Por qué el acceso gestionado hace que el reemplazo sea doloroso
La combinación de un formato propietario y una cadena de suministro cerrada es común en las plataformas de acceso gestionado y en la nube . Kastle no es único en este sentido; los sistemas construidos alrededor de credenciales bloqueadas por el proveedor incluyen varias otras plataformas empresariales donde la marca del bloqueo controla tanto el hardware como el software. Lo que distingue a Kastle es la penetración en el mercado: la plataforma está integrada en un gran número de edificios de oficinas Clase A en las principales ciudades de EE. UU., lo que significa que la población de inquilinos afectados por la lenta entrega de credenciales es sustancial.
En la práctica, el problema surge en algunos escenarios recurrentes. Una empresa subarrienda un espacio y hereda hardware de acceso sin un contrato de servicio directo con Kastle; los llaveros de reemplazo requieren que el arrendatario principal inicie el pedido. Un gerente de instalaciones necesita aprovisionar diez credenciales para un nuevo equipo que comienza el lunes; el tiempo de respuesta estándar de Kastle opera en un horario más largo. Un empleado se va, un llavero se pierde y el proceso de informe de credenciales perdidas desencadena un flujo de trabajo administrativo de varios pasos. En cada caso, el inquilino no tiene medios independientes para obtener un repuesto compatible.
Por eso, una credencial compatible correctamente codificada —una que contenga el código de instalación, el número de tarjeta, el nivel de emisión y la paridad correctos— tiene un valor operativo genuino. No es una solución provisional; es una alternativa de cadena de suministro para situaciones en las que el plazo de cumplimiento del proveedor gestionado no coincide con la necesidad operativa del inquilino. Los equipos de edificios e instalaciones con autoridad sobre sus propios horarios de acceso pueden añadir y eliminar números de tarjeta sin involucrar a Kastle, siempre que la credencial misma esté correctamente codificada según la especificación del formato. Compare esto con otras credenciales propietarias de formato largo como compatibles Lenel de 42 bits o compatibles Avigilon de 56 bits, donde se aplica el mismo principio: una credencial correctamente codificada funciona en el lector independientemente de quién fabricó el sustrato.
Cómo se codifica una credencial Kastle compatible
Producir un llavero Kastle compatible funcional requiere tres cosas: conocimiento del diseño exacto del campo de 32 bits, el código de instalación correcto para la instalación de destino y el cálculo preciso de la paridad de Kastle. El sustrato —el chip físico— es un transpondedor regrabable LF T5577 o EM4305, ambos componentes estándar de la industria utilizados en la industria de credenciales compatibles para formatos de 125 kHz. El chip en sí no es especial; lo que importa es la secuencia de bits escrita en él.
El código de instalación es específico de la instalación. A cada edificio gestionado por Kastle se le asigna su propio código de instalación, y una credencial codificada con el código de instalación incorrecto será rechazada por cada lector en ese sitio, incluso si el número de tarjeta y la paridad son correctos. Esto significa que un proveedor compatible necesita el código de instalación del cliente para producir una credencial funcional; no se puede inferir de un llavero de muestra sin leer los datos brutos, y Security ID Systems requiere que el cliente lo proporcione o que proporcione una credencial existente de la cual se pueda extraer durante el proceso de pedido.
Los números de tarjeta se asignan secuencialmente o por elección del cliente dentro del rango permitido por el ancho del campo. El nivel de emisión se establece típicamente para que coincida con el valor que el controlador de acceso del edificio ha inscrito, generalmente 1 para una credencial de primera emisión. Si está reemplazando un llavero perdido, el administrador del edificio sabrá qué nivel de emisión espera el controlador; si se está añadiendo un nuevo número de tarjeta al horario, el nivel de emisión 1 es estándar. El proceso es sencillo para cualquiera que haya gestionado un sistema de acceso basado en Wiegand antes; la principal diferencia es el mayor ancho de bits y la paridad propietaria. Para contextualizar cómo el enfoque de Kastle se compara con otros formatos menos comunes, nuestro artículo sobre tarjetas de acceso compatibles versus genuinas explica claramente las distinciones técnicas y comerciales.
Una vez codificada, la credencial se verifica con lectores de prueba antes del envío. Un llavero Kastle compatible se presenta de forma idéntica a una credencial genuina emitida por Kastle desde la perspectiva del lector: el lector decodifica la carga útil de 32 bits, reenvía los datos Wiegand al controlador y el controlador verifica su horario de acceso. No existe un mecanismo en el lado del lector para distinguir una credencial por su origen físico.
Cómo pedir un llavero o tarjeta Kastle compatible
Los clientes que soliciten credenciales Kastle compatibles deben proporcionar el código de instalación y el número de tarjeta o el rango de números de tarjeta requeridos. Si tiene un llavero Kastle existente, el código de instalación se puede leer de la credencial y confirmar antes de que comience la codificación. Si no tiene una muestra funcional, la administración del edificio o su contacto de servicio de Kastle pueden proporcionar el código de instalación para su sitio; no es un secreto a nivel de edificio; simplemente identifica su instalación dentro de la red de Kastle.
Security ID Systems suministra credenciales Kastle compatibles en formatos de tarjeta tipo "clamshell" y llavero. Ambos sustratos utilizan el mismo chip LF y contienen datos codificados idénticos; la elección es puramente física. Los llaveros son el formato de emisión más común para los edificios Kastle, pero las tarjetas están disponibles para instalaciones que utilizan lectores de tarjetas en los rellanos de los ascensores o en los puntos de entrada secundarios. Las cantidades mínimas de pedido y los plazos de entrega se enumeran en la página de producto de credenciales compatibles Kastle.
Si no está seguro de su formato o necesita ayuda para leer una credencial existente, nuestro guía de identificación de formato de tarjeta de acceso describe el proceso para credenciales de proximidad de 125 kHz. Los clientes que han investigado y descubierto que su edificio no utiliza el formato Kastle de 32 bits —una situación no poco común en edificios que han cambiado de proveedores de acceso— también pueden explorar compatibles propietarios de formato largo comparables, incluyendo Software House CCOTZ de 37 bits, ADT de 31 bits, y ATSW30 de 30 bits credenciales, así como compatibles con plataformas más nuevas gestionadas en la nube, como Tarjetas compatibles con Verkada.
Security ID Systems es un fabricante y proveedor independiente de credenciales de control de acceso compatibles y no está afiliado, autorizado ni respaldado por Kastle Systems.
Diseño de campo de credencial Kastle Systems de 32 bits
| Campo | Ancho de bits | Posición en la carga útil | Notas |
|---|---|---|---|
| Preámbulo / sincronización | varía | Bits iniciales | Sincronización del lector; no forma parte de la salida de datos Wiegand |
| Código de instalación | ~8–10 bits | Después del preámbulo | Específico del sitio; requerido para producir una credencial funcional |
| Número de tarjeta | ~16 bits | Medio de la carga útil | Identificador de credencial individual; asignado por el cliente |
| Nivel de emisión | ~4 bits | Después del número de tarjeta | Se incrementa en la reemisión; no tiene equivalente en H10301 de 26 bits |
| Paridad Kastle | 2–4 bits | Final | Cálculo propietario; debe coincidir con los valores del código de instalación y el número de tarjeta |
| Carga útil total | 32 bits | Transmisión completa | Más ancho que el estándar de 26 bits; rechazado por lectores que esperan H10301 |