El Instituto Nacional de Tecnologías de la Comunicación (INTECO), y la Agencia Española de Protección de Datos (AEPD), publican una Guía sobre “seguridad y privacidad de la tecnología RFID”, ante la proliferación de estos sistemas en elementos de la vida cotidiana de los ciudadanos.
Riesgos para la privacidad y seguridad
En la guía sobre seguridad y privacidad de la tecnología RFID se hace hincapié en que, si bien esta tecnología ofrece grandes oportunidades y facilidades- ya que se puede aplicar a multitud de campos y resulta muy útil para las empresas y los propios ciudadanos-, a su vez puede plantear serios riesgos, dado que pueden llegar a informar de la localización, identidad e historial de un individuo.
En este sentido, en el apartado dedicado a riesgos y amenazas, ambas instituciones advierten de la existencia de importantes riesgos para la privacidad y riesgos de seguridad.
En cuanto a los primeros, éstos consisten en el acceso no autorizado a información personal de los usuarios, usando la tecnología RFID. En este ámbito, el principal ataque que puede sufrir la privacidad del usuario es el intento de lectura de la información personal y privada almacenada en un dispositivo RFID bajo su posesión. La Guía ilustra la problemática que puede plantearse en el caso de una persona que porte una prenda de un comercio – Ej.: prenda de ropa – que no haya inutilizado las etiquetas o pegatinas RFID, ya que éstas podrían ofrecer información capaz de elaborar un perfil con los gustos o aficiones de esa persona a partir de sus compras.
En este sentido, el estudio distingue entre las principales amenazas más relevantes para la privacidad:
Accesos no permitidos a etiquetas: Pueden contener datos personales de todo tipo.
Rastreo de las personas y sus gustos, etc.: Portando una etiqueta RFID una persona puede ser observada y clasificada.
Uso de datos para el análisis de comportamientos individuales: Usando la “minería de datos” se definen los perfiles de consumo basado en las preferencias de los clientes.
En cuanto a los riesgos para la seguridad estos son los riesgos que tienen que ver con ataques, o averías que afectan al servicio- interrumpiéndolo, alterándolo, o realizando algún tipo de fraude-, o con la utilización de la tecnología para acceder a información personal de los usuarios del sistema.
Se trata de riesgos derivados de acciones encaminadas a deteriorar o aprovecharse del servicio de forma maliciosa. Se persigue el beneficio económico o un deterioro del servicio prestado. La forma más simple de ataque es evitar la comunicación entre la etiqueta y el lector, pero existen otras, como:
Aislamiento de etiquetas: Impidiendo la comunicación lector-etiqueta, introduciendo la misma en una “jaula de Faraday”, o creando un campo electromagnético que interfiera con el creado por el lector.
Suplantación: Consiste en el envío de información falsa que parece ser válida.
Inserción: Busca la inhabilitación de lectores y otros elementos del sistema mediante la inserción de comandos ejecutables en la memoria de datos de una etiqueta.
Desactivación o destrucción de etiquetas: Consiste en deshabilitar las etiquetas RFID sometiéndolas a un fuerte campo electromagnético, inutilizando el sistema.
Clonación de la tarjeta RFID: A partir de la comunicación entre una etiqueta y el lector, se copian los datos y se replican en otra etiqueta RFID.
Recomendaciones y buenas prácticas
Frente a los riesgos descritos, la Guía incluye varios apartados específicos con recomendaciones y buenas prácticas dirigidas tanto a usuarios- que usan la tecnología RFID en tiendas de ropa como sistema antirrobo, en bibliotecas, o en sistemas de identificación personal, etc. – como a proveedores, para que se asegure su correcta utilización y que se eviten situaciones de riesgo.
Entre estas recomendaciones recogidas en el informe cabe destacar:
Inutilización, desactivación o destrucción de las etiquetas una vez se haya cumplido su misión.
Notificar el uso de RFID.
No almacenar en los tags RFID información personal.
Dar a conocer a los usuarios cuándo, dónde y por qué se va a leer una etiqueta.
Utilización de etiquetas Watchdog: (en inglés “perro guardián”). Estas etiquetas informan de intentos de lectura y escritura que se hagan en su área de actuación.
Ofrecer al usuario facilidades para la retirada, destrucción o desactivación de los dispositivos asociados a productos cuando va a abandonar las instalaciones.
Cifrado: Impidiendo que las partes no autorizadas puedan entender la información enviada utilizando técnicas de cifrado de la información.
Autenticación: Evitando así la falsificación de lectores o etiquetas, debiendo introducirse una clave secreta para validar la comunicación lector-etiqueta.
Llamamiento del Parlamento Europeo
El informe publicado hoy se suma al reciente llamamiento realizado el pasado mes de junio por el Parlamento Europeo (PE) para garantizar la privacidad y la protección de los datos ante el uso de estas tecnologías. El PE hacía este llamamiento mediante la aprobación de un informe en el que se sostiene, entre otras cuestiones, la necesidad de establecer un marco jurídico europeo que garantice la privacidad de los ciudadanos en este ámbito, y que los consumidores tengan derecho al silencio de los chips, es decir, «a interrumpir en cualquier momento la conexión de los chips”.
http://www.inteco.es/Prensa/Actualidad_INTECO/guia_RFID_portada