miércoles, 18 de agosto de 2010

La identificación por radio frecuencia o RFID ofrece múltiples posibilidades de uso, como ya señalábamos en una anterior entrada, pero hay que tener en cuenta que su utilización no está exenta de riesgos, tal y como se nos informa en la Guía sobre seguridad y privacidad de la tecnología RFID elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Agencia Española de Protección de Datos (AEPD.
Así existen Riesgos para la Seguridad que tienen que ver con ataques o averías que afectan al servicio, bien interrumpiéndolo, bien alterándolo, bien realizando algún tipo de fraude. Las acciones más habituales encaminadas a deteriorar, interrumpir o aprovecharse del servicio de forma maliciosa son:
  • El aislamiento de etiquetas: impidiendo la correcta comunicación lector-etiqueta.
  • La suplantación mediante el envío de información falsa que parece ser válida.
  • La inserción de comandos ejecutables en la memoria de datos de una etiqueta donde habitualmente se esperan datos.
  • Infección y transmisión de códigos maliciosos (malware) incluidos dentro de etiquetas RFID.
  • Repetición de la señal de una etiqueta válida lo que permite suplantar la identidad que representa una etiqueta RFID.
  • Denegación de servicio. Este tipo de ataque, satura el sistema enviándole de forma masiva más datos de los que este es capaz de procesar.
  • Desactivación o destrucción de etiquetas: Consiste en deshabilitar las etiquetas RFID sometiéndolas a un fuerte campo electromagnético.
  • Clonación de la tarjeta RFID: A partir de la comunicación entre una etiqueta y el lector, se copian dichos datos y se replican.
Algunas de las posibles medidas a adoptar para evitar o minimizar los riesgos para la seguridad serían:

  • Utilizar etiquetas de sólo lectura, o no escribir los datos directamente en ellas. De esta manera se incluye un código en la etiqueta y el resto de la información se traslada a una base de datos que disponga de mayores medidas de seguridad.
  • Renombrado. En este caso, las etiquetas RFID contienen un conjunto de pseudónimos de modo que emite uno diferente cada vez que es interrogado por el lector, de esta forma, un lector malicioso que quisiera suplantar la etiqueta tendría que conocer todos los pseudónimos para realizar la suplantación.
  • Cifrado: Impidiendo que las partes no autorizadas puedan entender la información enviada.
  • Autenticación: debiendo introducirse una clave secreta para validar la comunicación lector-etiqueta
  • Reducción de la información contenida en las etiquetas, grabando en la etiqueta un único código identificador del producto. El resto de la información sensible (precio, tipo de producto, etc.) se almacenará asociada a ese código en un servidor central

Además existen Riesgos para la Privacidad ante la posibilidad de que la tecnología se use de forma maliciosa para acceder de forma fraudulenta a información personal de los usuarios del sistema, mediante:
  • Accesos no permitidos a las etiquetas
  • Rastreo de las personas y/o de sus acciones, gustos, etc.
  • Uso de los datos para el análisis de comportamientos individuales

Las principales medidas para proteger la privacidad de los usuarios son:
  • Utilización de etiquetas watchdog que informan de intentos de lectura y escritura que se hagan en su área de actuación.
  • El aislamiento, evitando la lectura de las etiquetas salvo en los momentos que se desee. Para ello, sólo hay que introducir la etiqueta en una funda de material metálico o plástico.
  • Uso de dispositivos que creen una zona segura alrededor del usuario mediante la emisión de ondas que anulen la efectividad de RFID.
  • Notificar el uso de RFID, de forma clara y mediante símbolos expuestos: en los productos, en los lectores y en las zonas de alcance de los lectores.
  • Tener una política de privacidad relativa a la obtención, uso y eliminación de la información personal asociada a RFID.
  • No almacenar en las etiquetas RFID información personal.
  • Retirar, destruir o desactivar las etiquetas RFID cuando hayan cumplido su misión.
  • Ofrecer al usuario facilidades para la retirada, destrucción o desactivación de las etiquetas RFID
  • No ceder a terceras partes información asociada a RFID que pueda ser usada para crear perfiles o realizar vigilancia de usuarios.
  • Realizar auditorías de seguridad de sistemas RFID de forma periódica para garantizar su nivel de seguridad

miércoles, 11 de agosto de 2010

Usos y aplicaciones de la identificación por radio frecuencia (RFID)

La identificación por radio frecuencia o RFID (Radio Frequency IDentification) es una tecnología que permite identificar automáticamente un objeto gracias a una onda emisora incorporada en el mismo que transmite por radiofrecuencia los datos identificativos del objeto. El abaratamiento de los costes y la reducción en su tamaño permite que estas emisoras sean lo suficientemente pequeñas como para tener la forma de etiquetas adhesivas, pudiéndose incorporar casi a cualquier objeto.


Entre las empresas españolas el uso de la tecnología RFID es aún incipiente. Así, el nivel de adopción de esta tecnología por parte de las microempresas es del 0,8%, entre las pymes el porcentaje se eleva a 3,1%, en el caso de las entidades de 10 a 49 empleados, y a 8,9% si el rango va de 50 a 249 trabajadores. Si se habla de grandes compañías (más de 249) el porcentaje es del 20%.

La tecnología RFID se ha dirigido principalmente al sector logístico (almacenamiento, distribución, etc.) y al sector de la defensa y seguridad no obstante su utilización se pueden extender a múltiples actividades, así en la Guía sobre seguridad y privacidad de la tecnología RFID elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Agencia Española de Protección de Datos (AEPD, señalan entre sus posibles usos los siguientes:

En tiendas de artículos para identificar los productos (almacenamiento, precios, etc.) o como medida de seguridad para detectar un intento de hurto. Gestiona y controla el stock entre diferentes tiendas así como mejora la rotación de artículos repercutiendo en mejoras en las ventas de productos.

El control de acceso y cobro en transportes públicos, incorporando etiquetas RFID a las tarjetas con los abonos de los usuarios o para el control de equipajes.

La identificación electrónica de mascotas mediante la implantación subcutánea por un veterinario de un microchip portador de un código numérico único.

El pago automático de peajes. Por ejemplo, en sistemas de telepeaje utilizados en las autopistas para realizar el pago del trayecto sin necesidad de detener el vehículo.

En las bibliotecas, para catalogación, ordenación y protección antirrobo de libros.

En los supermercados, para realizar la facturación automática de todo un carro de productos sin moverlos del mismo. También se usa para el control de su inmovilizado, compuesto por una cantidad de elementos repartidos por sus centros de venta, almacenes y oficinas.

Toma de tiempos en eventos deportivos.

En el ámbito sanitario, para el control de medicamentos, seguimiento de instrumental, identificación de muestras médicas o el seguimiento de pacientes en centros de salud. Manteniendo el inventario de fármacos y bolsas de sangre del hospital controlado en tiempo real se evitan errores en las transfusiones o en la administración de fármacos al paciente que pueden ocasionar graves perjuicios.

Como control de acceso en zonas residenciales, habitaciones de hoteles, aparcamientos, plantas industriales o entornos que requieran seguridad.

En la logística, almacenamiento y distribución, en general. Un ejemplo es su implantación en el sistema de inventariado y seguimiento de productos por compañías textiles, o su utilización en la identificación, localización y gestión de grandes piezas de hormigón o en sistemas de gestión postal con el fin de mejorar los plazos de entrega de los envíos y la gestión de la logística.

En el sector alimentario, con el fin de que los agricultores puedan asegurar la trazabilidad de sus productos desde su siembra hasta el consumidor final; o en el control e identificación de las reses en las explotaciones ganaderas.

Pero además hay otras muchas aplicaciones que se están estudiando, como por ejemplo:

Pagos electrónicos con teléfonos móviles.

Pasaportes electrónicos, que almacenan la información del titular y la fotografía o la huella dactilar en un chip RFID.

Activación de vehículos y maquinaria industrial. En este caso, la etiqueta RFID actúa como control de verificación personal, permitiendo la activación sólo en presencia de dicha etiqueta