SoftwareLibre.Net

Una noticia que ya tiene casi un mes pero me parece tan importante que no la puedo dejar sin publicar. El gobierno holandés pide a los investigadores que encontraron deficiencias de seguridad en el chip rfid de la oyster card(*) que no publiquen los resultados (TheRegister).

Uno a uno, los estados europeos van introduciendo los pasaportes con chip RFID (España hace ya un par de años que los emite). El último del que tengo conocimiento es Francia, que planea comenzar a emitirlos en junio de 2009 (rue89).

Parecía que la RFID había ya dado el asalto final a los hospitales y puede que efectivamente sea así, motivo por el cual no deja de ser preocupante que existan pruebas de etiquetas RFID interfiriendo a dispositivos médicos (Wall Street Journal via /.). En concreto estas etiquetas han modificado la frecuencia de venteo de las máquinas para respiración artificial, lo cual creo es lo suficientemente grave. Evidentemente, toda tecnología tiene sus problemas, sólo hay que aprender a aislarlos. También un aparato para Resonancia magnética nuclear equivale a la muerte para alguien que tenga un marcapasos, y eso no nos impide utilizarlo.

Sobre RFID en este blog hemos hablado mucho, y que últimamente hablemos algo menos no debe ser entendido como una disminución del interés de este tema. Más aún, es un tema cada vez más interesante porque es un tema que cada vez está más extendido y del que los medios no informan en absoluto o informan de forma equivocada (mencionando la propaganda que reparten los fabricantes sin hacer hincapié en los problemas que conlleva esta tecnología). Hoy vamos a comentar unas notas sobre RFID en hospitales que se me han ido acumulando.

La tecnología de identificación mediante radiofrecuencias (RFID) tiene muchas aplicaciones y es ya una realidad mucho más extendida que lo que podría parecer si atendemos al poco conocimiento que de la misma tiene el gran público (digamos, la ciudadanía). Sin embargo, entre estas aplicaciones no pocas entran en conflicto con la privacidad de las personas, poniéndola en peligro la mayoría de las veces tanto esta privacidad como otros derechos fundamentales.

España va bien. Va tan bien que cada vez importamos las malas ideas que paren en el resto del mundo con menos retraso. El hospital asturiano de Cabueñes inicia el seguimiento y espía de sus pacientes mediante RFID, lo leemos en La voz de Asturias (gracias xman). Una mala noticia.

Increíble la historia que leemos en Washington Times (via Schneier): El gobierno estadounidense ha decidido subcontratar la fabricación de sus pasaportes RFID a compañías privadas extranjeras. Incluso una en Tailandia. Supongo que tras cambiar a su ejército por los mercenarios de Blackwater, no les quedaba mucho más con lo que enriquecerse a base de pelotazos, pero se pueden imaginar la mezcla y el resultado: eso de que los pasaportes son hi-tech inquebrantable es ya falso (no que antes no lo fuera, pero de partida si los están comprando a una empresa privada no puede ser de otra forma), y seguro que alguien está pegando el pelotazo (a lo Mario Conde) con esta jugada.

Me envían al buzón (¡gracias!) un enlace al diario La Mañana: «Los autobuses del Segrí tendrán billete integrado a partir del lunes». Me quedo con este párrafo: La integración tarifaria del Segrí, la segunda que se realiza en Catalunya tras la del área de Barcelona, es pionera en el país, por el sistema de títulos de transporte sin contacto que se utiliza. Se trata de un método que ya se usa en los autobuses de la ciudad de Lleida. Este sistema permite utilizar el transporte público con un título recargable que se valida mediante un chip y unos aparatos de lectura incorporados en la mismos vehículos y estaciones de los FGC. Está previsto que se extienda al resto de Catalunya en los próximos años.

Cuando alguien habla abiertamente de lo inocuo que resultan la mayoría de registros personales (que no paran de aumentar en número) que existen y en los que nuestra actividad queda registrada para siempre no puedo por menos enarcar una ceja y negar silenciosamente. A veces, cuando sé que mi interlocutor está dispuesto a conversar sin discutir o enrocarse estúpidamente en su banda, argumento a la contra. Vigilancia social y seguridad no van de la mano, son hechos probados.

Bienvenidos al mundo de las inseguras tarjetas de crédito RFID. Por supuesto no son nada nuevo, ya hemos hablado antes de crackeo de tarjetas de crédito RFID, la novedad ahora, que muestran en BoingBoing, es que el lector con el que se hace cuesta tan sólo 8 euros. Y esto nos llega unos días después de que la ruptura del cifrado de numerosas tarjetas RFID (incluida la Oyster Card londinense) recibiera la atención de los medios.

Algo que próximamente verá la luz y que me llegó a mi buzón gracias a un chivatazo (¡muchas gracias!) de alguien que seguirá en la sombra hasta nueva orden :)

El gobierno holandés acaba de emitir un aviso sobre un problema de seguridad en las tarjetas basadas en el chip RFID Mifare Classic de NXP Semiconductors. El ministro holandés del Interior ha informado al Parlamento de que las instituciones oficiales planean adoptar medidas adicionales de seguridad ante la vulnerabilidad hallada en el algoritmo de seguridad de este chip, utilizado en 2 millones de pases de acceso a edificios en Holanda y en el sistema de transporte público de ese país, y que gobierna más de 1.000 millones de tarjetas en todo el mundo, lo que convierte a este asunto en un problema de seguridad global. El fallo (del que han informado separadamente dos grupos de investigadores la pasada semana) permite clonar pases de acceso y suplantar identidades para acceder a los correspondientes recursos... Leer Más...

Ya no es que las clonen sin llegar a saber qué se está clonando realmente (como se ha conseguido con los pasaportes RFID, recomiendo leer ¿por qué no sirve de nada que un pasaporte rfid esté cifrado?), es que las han conseguido leer. La cosa es que el fabricante cuyas tarjetas se han reventado (ahora entenderéis porqué uso esa palabra) es proveedor de numerosas empresas, entre las que se incluyen (si no he entendido mal) la Oyster card para el transporte público de Londres.

Mucha gente no sabe que los pasaportes electrónicos son en realidad pasaportes RFID, cosas de la neolengua. De entre los que saben qué llevan realmente los pasaportes muchos desconfían, con motivos, de este tipo de sistemas. Pero, nuevamente, una parte de esos que alcanzan a ver que hay pastel podrían tener la tentación de relajarse cuando les dicen que los chips RFID de nuestros pasaportes tienen la información cifrada. Es una tentación, no hay que confiarse. El cifrado de un chip RFID es irrelevante cuando hablamos de seguridad, pues no supone ninguna solución. ¿Por qué no sirve de nada que un pasaporte RFID esté cifrado?

En 2006, la UE abrió una consulta pública sobre RFID. Unos meses después se hizo público el resultado de esas encuestas: miles de respuestas y más de la mitad de los encuestados afirmaron desconfiar de la seguridad de la tecnología y exigían (ya en 2006) una regulación que detallara qué información podían incluir estos chips y cómo podía usarse. Bien, un año y medio después, en febrero de 2008, la UE no ha regulado al respecto de la RFID más que los usos que tendrán las distintas regiones del espectro: todo lo que han hecho ha sido repartir la tarta entre militares, resto de instituciones públicas y empresas. ¿Sobre privacidad? Nada.