La seguridad del RFID

Solo hay que echar la vista atrás para comprobar como muchas afirmaciones son risibles desde el primer instante. Cuando se presentaron los pasaportes con RFID en Estados Unidos se dijo que el gobierno Estadounidense ha informado que está intentando todo lo posible para evitar ataques piratas y fraudes, algo que no han conseguido.

Ya existían una serie de ataques teóricos sobre estos pasaportes, pero desde luego una demostración práctica siempre impacta mucho más que una teoría que no todo el mundo es capaz de comprender. Así que el vídeo que muestra como se ha conseguido debería dejar clara la falta de seguridad de esta tecnología, al menos tal como se ha implementado.


El problema ya no es que sea posible clonar las tarjetas RFID, sino que se puede hacer por muy poco dinero y a bastante distancia. Lo que ha demostrado Chris Paget es que con 250 dólares ha podido montar un sistema con el que puede leer el identificador RFID de los pasaportes a una distancia de 10 metros. De todos modos, es posible, con hardware más potente, leer estas etiquetas desde mucha más distancia, incluso a más de 1.5 kilómetros.

En el caso de los pasaportes en Estados Unidos (y en muchos otros sistemas que usan RFID) no se almacenan datos personales en el propio chip, sino que este solo incluye un número de identificación que, al ser leído por el ordenador, permite obtener el resto de información de una base de datos.

Por tanto, leer ese número no permite obtener información personal, pero si clonar el pasaporte. Se me ocurren varias formas de hacer “malezas” con eso, pero tampoco hay que ir muy lejos, puesto que ya hemos visto ejemplos de como esta tecnología ha sido subvertida en otras ocasiones.

Ya hace tiempo vimos un caso mucho más grave, en el que se consiguió leer tarjetas de crédito a distancia, obteniendo tanto el número de estas como la fecha de caducidad o el nombre del propietario. Y estos datos son utilizables inmediatamente por un posible atacante, con un pérdida no ya de privacidad, sino de dinero.

Otro ejemplo famoso en el que está involucrado el RFID son las tarjetas de transporte utilizadas en muchas ciudades. Un equipo de una universidad holandesa demostró como era posible clonar las Oyster Card, la tarjeta que se utiliza en el transporte público de Londres.

Las autoridades minimizaron este problema indicando que son capaces de detectar tarjetas clonadas y que, por tanto, solo serviría para viajar durante un día. Pero teniendo en cuenta que son sencillas de reprogramar, yo sigo viendo fallos de seguridad bastante grandes en el sistema.

A los problemas de que nos clonen la tarjeta se le suman los de privacidad, pues en el caso del metro de Londres podemos ver los últimos viajes hechos acercando la tarjeta a las máquinas de venta de billetes, algo muy sencillo si disponemos de una tarjeta clonada.

En la gran mayoría de los casos, el problema no está tanto en la tecnología RFID sino en la implementación criptográfica que se hace de ella. Los investigadores aseguran que la implementación hecha en sistemas como Mifare Classic, utilizando mucho para accesos a edificios y locales, es de juguete y que cualquiera puede romperla sin problemas.

Haciendo un paralelismo con las redes Wi-Fi, es evidente que las tecnologías inalámbricas tienen mayores potenciales vulnerabilidades, al no requerir acceso físico al medio (ya sea el cable de red o la tarjeta), por ello es necesario una mayor seguridad lógica.

En Wi-Fi, tras descubrirse que WEP era vulnerable se ha pasado a usar, en la mayoría de las ocasiones, WPA y otros sistemas más seguros. Algo similar es necesario hacer con las tecnologías RFID, que reportan ventajas evidentes, como una mayor facilidad y rapidez de uso, pero que es necesario que también aportan una buena seguridad. Sobre todo si está en juego nuestra privacidad y nuestro dinero.

Más información | Wired.
Más información | The Register.

Portada de Xataka