La identificación por radio frecuencia o RFID ofrece múltiples posibilidades de uso, como ya señalábamos en una anterior entrada, pero hay que tener en cuenta que su utilización no está exenta de riesgos, tal y como se nos informa en la Guía sobre seguridad y privacidad de la tecnología RFID elaborada por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la Agencia Española de Protección de Datos (AEPD.
Así existen Riesgos para la Seguridad que tienen que ver con ataques o averías que afectan al servicio, bien interrumpiéndolo, bien alterándolo, bien realizando algún tipo de fraude. Las acciones más habituales encaminadas a deteriorar, interrumpir o aprovecharse del servicio de forma maliciosa son:- El aislamiento de etiquetas: impidiendo la correcta comunicación lector-etiqueta.
- La suplantación mediante el envío de información falsa que parece ser válida.
- La inserción de comandos ejecutables en la memoria de datos de una etiqueta donde habitualmente se esperan datos.
- Infección y transmisión de códigos maliciosos (malware) incluidos dentro de etiquetas RFID.
- Repetición de la señal de una etiqueta válida lo que permite suplantar la identidad que representa una etiqueta RFID.
- Denegación de servicio. Este tipo de ataque, satura el sistema enviándole de forma masiva más datos de los que este es capaz de procesar.
- Desactivación o destrucción de etiquetas: Consiste en deshabilitar las etiquetas RFID sometiéndolas a un fuerte campo electromagnético.
- Clonación de la tarjeta RFID: A partir de la comunicación entre una etiqueta y el lector, se copian dichos datos y se replican.
- Utilizar etiquetas de sólo lectura, o no escribir los datos directamente en ellas. De esta manera se incluye un código en la etiqueta y el resto de la información se traslada a una base de datos que disponga de mayores medidas de seguridad.
- Renombrado. En este caso, las etiquetas RFID contienen un conjunto de pseudónimos de modo que emite uno diferente cada vez que es interrogado por el lector, de esta forma, un lector malicioso que quisiera suplantar la etiqueta tendría que conocer todos los pseudónimos para realizar la suplantación.
- Cifrado: Impidiendo que las partes no autorizadas puedan entender la información enviada.
- Autenticación: debiendo introducirse una clave secreta para validar la comunicación lector-etiqueta
- Reducción de la información contenida en las etiquetas, grabando en la etiqueta un único código identificador del producto. El resto de la información sensible (precio, tipo de producto, etc.) se almacenará asociada a ese código en un servidor central
Además existen Riesgos para la Privacidad ante la posibilidad de que la tecnología se use de forma maliciosa para acceder de forma fraudulenta a información personal de los usuarios del sistema, mediante:
- Accesos no permitidos a las etiquetas
- Rastreo de las personas y/o de sus acciones, gustos, etc.
- Uso de los datos para el análisis de comportamientos individuales
Las principales medidas para proteger la privacidad de los usuarios son:
- Utilización de etiquetas watchdog que informan de intentos de lectura y escritura que se hagan en su área de actuación.
- El aislamiento, evitando la lectura de las etiquetas salvo en los momentos que se desee. Para ello, sólo hay que introducir la etiqueta en una funda de material metálico o plástico.
- Uso de dispositivos que creen una zona segura alrededor del usuario mediante la emisión de ondas que anulen la efectividad de RFID.
- Notificar el uso de RFID, de forma clara y mediante símbolos expuestos: en los productos, en los lectores y en las zonas de alcance de los lectores.
- Tener una política de privacidad relativa a la obtención, uso y eliminación de la información personal asociada a RFID.
- No almacenar en las etiquetas RFID información personal.
- Retirar, destruir o desactivar las etiquetas RFID cuando hayan cumplido su misión.
- Ofrecer al usuario facilidades para la retirada, destrucción o desactivación de las etiquetas RFID
- No ceder a terceras partes información asociada a RFID que pueda ser usada para crear perfiles o realizar vigilancia de usuarios.
- Realizar auditorías de seguridad de sistemas RFID de forma periódica para garantizar su nivel de seguridad
No hay comentarios:
Publicar un comentario