Informatica

¡Alarma! Los RFID no son seguros


I de II Partes

REGULACIÓN Y ESTANDARIZACIÓN
No hay ninguna corporación pública global que gobierne las frecuencias usadas para RFID. En principio, cada país puede fijar sus propias reglas.

Mucha expectativa se ha creado en el mundo en torno a los nuevos pasaportes electrónicos provistos del sistema RFID (Radio Frequency Identification o Identificación por Radiofrecuencia, en español). Pero la alarma sonó esta semana: ¡pueden ser clonados!
Los pasaportes electrónicos ya se han convertido en estándar en algunos países (ojalá que en Nicaragua ni se les ocurra aún). Y eso alarga la preocupación.
Los pasaportes cuentan con un pequeño chip electrónico donde están almacenados los datos más importantes del titular. Esta información es transferida a un lector mediante RFID.
Pero la semana pasada los principales diarios dedicados a la tecnología dijeron que un pequeño programa denominado RFDump logra interceptar, copiar y modificar la información de los pasaportes.
Popularidad extendida
El RFID se trata de una tecnología basada en la utilización de un pequeño chip adherido a un producto (que hace más función que un código de barra), y a través del cual es posible mantener un rastreo de su localización.
La distancia de rastreo varía mucho, dependiendo del tamaño, tipo y antena del chip, pero podría ser desde 2cm. hasta los 13 metros en los sencillos, y de varios kilómetros en los más complejos. Son realmente pequeños y tal y como van los avances, en poco tiempo podrían ser considerados virtualmente invisibles.
Pero con los RFID la privacidad de los compradores está en entredicho. Por ejemplo, cualquiera que tuviera un lector de chips RFID podría saber los aparatos, electrodomésticos, ropa, que hay en casa sin necesidad de entrar.
Un chip RFID en el celular, reloj o cartera podría permitir saber si se ha estado en un determinado establecimiento. Ésta es la razón por la que se alerta sobre la inexistencia de una legislación que permita la implantación de esta tecnología de una manera segura.
Uso actual
Las etiquetas RFID de baja frecuencia se utilizan comúnmente para la identificación de animales, seguimiento de barricas de cerveza, y como llave de automóviles con sistema antirrobo. En ocasiones se insertan en pequeños chips en mascotas, para que puedan ser devueltas a su dueño en caso de pérdida. En los Estados Unidos se utilizan dos frecuencias para RFID: 125 kHz (el estándar original) y 134,5 kHz (el estándar internacional). Las etiquetas RFID de alta frecuencia se utilizan en bibliotecas y seguimiento de libros, seguimiento de pallet, control de acceso en edificios, seguimiento de equipaje en aerolíneas, seguimiento de artículos de ropa, y últimamente en pacientes de centros hospitalarios para hacer un seguimiento de su historia clínica.
Implantes en humanos
Los chips RFID implantables, diseñados originalmente para el etiquetado de animales, ya se está implementado en seres humanos. Applied Digital Solutions propone su chip “unique under-the-skin format” (formato bajo-la-piel único) como solución a la usurpación de la identidad, al acceso seguro a un edificio, al acceso a un ordenador, al almacenamiento de expedientes médicos, a iniciativas de anti-secuestro y a una variedad de aplicaciones.
Combinado con los sensores para supervisar diversas funciones del cuerpo, el dispositivo podría proporcionar supervisión de los pacientes. El Baja Beach Club en Barcelona (España) utiliza un Verichip implantable para identificar a sus clientes VIP, que lo utilizan para pagar las bebidas. El departamento de Policía de Ciudad de México ha implantado el Verichip a unos 170 de sus oficiales de Policía, para permitir el acceso a las bases de datos de la Policía y para poder seguirlos en caso de ser secuestrados.
Amal Graafstra, un empresario natural del estado de Washington, tenía un chip RFID implantado en su mano izquierda a principios de 2005. El chip medía 12 mm de largo por 2 milímetros de diámetro y tenía un radio de acción para su lectura de dos pulgadas (50 milímetros). La implantación fue realizada por un cirujano plástico, aunque el nombre del doctor no fue revelado. Cuando le preguntaron qué pretendía hacer con el implante, Graafstra respondió: “Estoy escribiendo mi propio software y estoy soldando sobre mi propia materia, prácticamente esto es lo que deseo. Bueno, de forma más precisa, algo que tengo el tiempo y la inspiración para poder hacerlo. En última instancia, sin embargo, pienso que el verdadero acceso sin llave requerirá un chip implantable con un sistema muy fuerte de cifrado; ahora tan sólo veo este tipo de cosas en un contexto personal”.
Ahora que se sabe que se puede robar la información de un RFID, ¿estará seguro Amal con su implante y su seguridad personal? Próxima edición: polémica en torno a los RFID y ¡la señal de la bestia!

Más información en: Blackhat.com, Wired.com news.com y http://es.wikipedia.org/wiki/RFID.