Solo hay que echar la vista atrás para comprobar como muchas afirmaciones son risibles desde el primer instante. Cuando se presentaron los pasaportes con RFID en Estados Unidos se dijo que el gobierno Estadounidense ha informado que está intentando todo lo posible para evitar ataques piratas y fraudes, algo que no han conseguido.
Ya existían una serie de ataques teóricos sobre estos pasaportes, pero desde luego una demostración práctica siempre impacta mucho más que una teoría que no todo el mundo es capaz de comprender. Así que el vídeo que muestra como se ha conseguido debería dejar clara la falta de seguridad de esta tecnología, al menos tal como se ha implementado.
El problema ya no es que sea posible clonar las tarjetas RFID, sino que se puede hacer por muy poco dinero y a bastante distancia. Lo que ha demostrado Chris Paget es que con 250 dólares ha podido montar un sistema con el que puede leer el identificador RFID de los pasaportes a una distancia de 10 metros. De todos modos, es posible, con hardware más potente, leer estas etiquetas desde mucha más distancia, incluso a más de 1.5 kilómetros.
En el caso de los pasaportes en Estados Unidos (y en muchos otros sistemas que usan RFID) no se almacenan datos personales en el propio chip, sino que este solo incluye un número de identificación que, al ser leído por el ordenador, permite obtener el resto de información de una base de datos.
Por tanto, leer ese número no permite obtener información personal, pero si clonar el pasaporte. Se me ocurren varias formas de hacer “malezas” con eso, pero tampoco hay que ir muy lejos, puesto que ya hemos visto ejemplos de como esta tecnología ha sido subvertida en otras ocasiones.
Ya hace tiempo vimos un caso mucho más grave, en el que se consiguió leer tarjetas de crédito a distancia, obteniendo tanto el número de estas como la fecha de caducidad o el nombre del propietario. Y estos datos son utilizables inmediatamente por un posible atacante, con un pérdida no ya de privacidad, sino de dinero.
Otro ejemplo famoso en el que está involucrado el RFID son las tarjetas de transporte utilizadas en muchas ciudades. Un equipo de una universidad holandesa demostró como era posible clonar las Oyster Card, la tarjeta que se utiliza en el transporte público de Londres.
Las autoridades minimizaron este problema indicando que son capaces de detectar tarjetas clonadas y que, por tanto, solo serviría para viajar durante un día. Pero teniendo en cuenta que son sencillas de reprogramar, yo sigo viendo fallos de seguridad bastante grandes en el sistema.
A los problemas de que nos clonen la tarjeta se le suman los de privacidad, pues en el caso del metro de Londres podemos ver los últimos viajes hechos acercando la tarjeta a las máquinas de venta de billetes, algo muy sencillo si disponemos de una tarjeta clonada.
En la gran mayoría de los casos, el problema no está tanto en la tecnología RFID sino en la implementación criptográfica que se hace de ella. Los investigadores aseguran que la implementación hecha en sistemas como Mifare Classic, utilizando mucho para accesos a edificios y locales, es de juguete y que cualquiera puede romperla sin problemas.
Haciendo un paralelismo con las redes Wi-Fi, es evidente que las tecnologías inalámbricas tienen mayores potenciales vulnerabilidades, al no requerir acceso físico al medio (ya sea el cable de red o la tarjeta), por ello es necesario una mayor seguridad lógica.
En Wi-Fi, tras descubrirse que WEP era vulnerable se ha pasado a usar, en la mayoría de las ocasiones, WPA y otros sistemas más seguros. Algo similar es necesario hacer con las tecnologías RFID, que reportan ventajas evidentes, como una mayor facilidad y rapidez de uso, pero que es necesario que también aportan una buena seguridad. Sobre todo si está en juego nuestra privacidad y nuestro dinero.
Más información | Wired.
Más información | The Register.
Ver 7 comentarios
7 comentarios
logoff
y que hay de la ley estadounidense que impide pasar de ciertos bits de cifrado? necesitan tenernos controlados...
black_ice
@cutrelux: me he quedado flipando con el video.
Alguien ha visto Loose Change??
Es un documental que recomiendo muchísimo para quién esté interesado en los vacios que quedaron tras el 11 S
Un saludo
Atmosphear
Es una vergüenza que pasen estas cosas, ya que no es algo que tú elijas, sino que es algo impuesto (yo no puedo elegir entre comprar un bono-transporte con rfid o no). De hecho dudo mucho que tarden en aparecer demandas hacia las empresas o las administraciones por no haber previsto estos ataques y haber sufrido un uso fraudulento de tus datos.
¿Para qué hacer las cosas bien desde un principio?Así nos va...
Mis fotos en Flickr
cutrelux
Lo que quiere hacer el Club Bilderberg con los RFID: www.youtube.com/watch?v=3hqsQf8batM
kae99
La información que dáis en esta noticia es incorrecta en muchos puntos. Por favor, documentaos bien antes de escribir este tipo de cosas y confundir a la gente.
Por ejemplo, decís lo siguiente:
"En el caso de los pasaportes en Estados Unidos (y en muchos otros sistemas que usan RFID) no se almacenan datos personales en el propio chip, sino que este solo incluye un número de identificación que, al ser leído por el ordenador, permite obtener el resto de información de una base de datos."
No sé de dónde lo habéis sacado, pero no es para nada cierto: en los pasaportes actuales se guardan tanto los datos básicos del individuo como su foto (los mismos datos que aparecen en la página de indentificación), todo ello protegido con un mecanismo de control de acceso llamado BAC (Basic Access Control).
En futuras versiones, se incluirán otros datos biométricos (protegidos con un mayor nivel de seguridad a través de un mecanismo conocido como "Terminal Authentication").
De modo que no sería cierto que copiando el número de identificación se clonaría un pasaporte. Es bastante más complejo. De hecho, en la generación actual de pasaportes, el estándar define un mecanismo llamado "Active Authentication" que permite verificar que el chip del pasaporte es el original y no una clonación (si bien es cierto que es un mecanismo opcional y no todos los países lo implementan).
Para la nueva generación de pasaportes electrónicos, este mecanismo se sustituirá por otro llamado "Chip Authentication" y su implementación será obligatoria.
Por otra parte, el "número de identificación" que comentáis que este chico es capaz de leer y que sería suficiente clonar... no existe como tal.
De hecho, cada vez que un lector RFID trata de identificar al pasaporte, este proporciona un nuevo número aleatorio, para prevenir posibles ataques de seguimiento del propietario.
kae99
Por último, el chico del video parece que tampoco sabe muy bien por donde van los tiros...
Si os fijáis, en el programa que utiliza para hacer la lectura de las etiquetas, este se llama "EPC Gen2 Tag Reader".
Bien, las etiquetas EPC Gen2 son generalmente etiquetas UHF de bajo coste que se utilizan principalmente para el seguimiento de productos a lo largo de la cadena de suministros. Tiene un coste mínimo y consecuentemente una seguridad mínima.
Las etiquetas que se utilizan en los pasaportes electrónicos son etiquetas bastante más caras y complejas, de HF y basadas en el estándar ISO 14443 (no son de EPC Gen2). En estas etiquetas no existen los comandos "lock" y "kill" que comenta en el video.
En fin, perdón por el ladrio, pero, por favor, documentaos bien antes de escribir las noticias y confundir a los lectores.
rafalabo
Estoy de acuerdo con los comentarios, y como siempre, la desinformacion es tremenda, Como dicen EPC -Gen2 no es el estandar para los tags en los pasaportes, es el de las etiquetas para los productos normales, es el que se supone reemplazará al codigo de barras, por ello es que debe ser de bajo costo, tanto los tags, como los lectores (como el que usan el video) tienen que ser de bajo costo porque es para la empresa. Basicamente no tienen mucha seguridad por no decir ninguna, simplemente el lector envia "un desafio", el tag que lo hacepta responde con un numero aleatorio, y el lector dice al tag de nuevo, que lo entendio, devolviendole una funcion de ese numero, que ambos conocen, asi el tag sabe que el lector si es el que dice ser, se supone que ahora tanto tag como lector estan identidicados y entonces el tag envia su EPC (Electronic Product Code), que no es mas que el numero que reemplazará al codigo de barras, también hay otras cosas que se pueden hacer despues de la identificacion como por ejemplo enviar al tag el comando lock para bloquear la lectura del tag hasta que se ingrese una clave, o el kill para que nunca mas se pueda leer, y asi evitar cosas como la trazabilidad, osea que alguien con un lector pudiera leer tu zapatos por toda la ciuad y seguirte, por ejemplo. Aunque efectivamente hay peligros y falta de seguridad en las etiquetas rfid, especialmente en las que cumplen con el protocolo EPC-Class1-GEN2 porque asi fueron diseñadas, no hay que caer en la paranoia, al igual que te podrian seguir con la etiqueta rfid, hay muchas mas formas de violar tu privacidad o saber tus gustos en compras que asi, por ejemplo los centros comerciales estan llenos de camaras, la empresa de moviles siempre sabes donde te encuentras, las de tarjetas de credito sabes donde compras, la telefonica sabe a donde llamas, asi que no hay que caer en el alarmismo y en las teorias cospiratorias.