(in)Seguridad RFid/NFC

ConexionesEn México cada vez es más común escuchar sobre RFid (radio frequency identification) / NFC (near field communication), ya que se puede entrar en contacto con estas tecnologías al utilizar cierto tipo de teléfonos celulares para enviar fotos o videos, al trasladarse en metrobús o en metro, para ingresar a ciertos edificios/empresas y, próximamente, para realizar pagos bancarios y compras con tarjetas de uno de los bancos más grandes del país.

Pero, ¿en realidad se sabe qué son o en qué se basan las tecnologías de RFid/NFC? Tanto el RFid como el NFC son medios de comunicación inalámbricos de radiofrecuencia que se encuentran regulados en los ISO-15690 e ISO-14443 y que por lo general trabajan con frecuencias de 13.56MHz y 125KHz.

Aunque pueda resultar un poco confuso diferenciar entre un dispositivo NFC y uno de RFid, la diferencia principal estriba en la distancia en la que funcionan, es decir, mientras que el NFC permite transmitir datos a distancias muy cortas (menos de 10 cm), con el RFid es posible transmitir a varios metros.

Dadas las facilidades y beneficios que ofrece, este tipo de tecnología se está incorporando en los pasaportes para Europa, EE.UU., Argentina y otros países. Otra aplicación se ve reflejada en medios de transporte como los trenes en Europa, y el metrobús en la Ciudad de México. Otro ejemplo en EE.UU. es el “Google Wallet”, que es una aplicación para Android que permite convertir un teléfono celular en una cartera, lo cual hace posible realizar pagos en locales y negocios sin necesidad de cargar con tarjetas bancarias. Solo es necesario acercar el teléfono al cajero y, mediante NFC, la compra o pago queda realizada.

En lo que respecta a la seguridad, ¿se puede confiar en este medio para efectuar pagos de manera electrónica?; por ahora no hay gran preocupación pues la información transmitida por este medio viaja por un canal cifrado, es decir, la información se codifica mediante un algoritmo conocido como “Crypto1”.

Sin embargo, vivimos en un mundo donde todo es “crackeable” y RFid/NFC no son la excepción. En la actualidad se conocen formas para clonar este tipo de tecnología; hace algunos años un grupo de hackers alemanes, conocidos como “The Hacker’s Choice”, lograron clonar y falsificar un pasaporte europeo con tecnología de RFid. Modificando los datos utilizaron el nombre de “Elvis Presley” y lo probaron en el aeropuerto de Amsterdam. Como era de esperarse, no se levantó ninguna señal de alarma o sospecha, lo que abre riesgos por suplantación de identidad.

Otro caso significativo fue el expuesto durante un Black Hat en 2012, en el que Charlie Miller demostró qué tan fácil puede ser tomar control remoto de un teléfono celular mediante el uso de NFC, haciendo una demostración con los teléfonos Samsung Nexus S, Galaxy Nexus y Nokia n9. En los tres casos pudo obtener acceso a las fotografías, enviar mensajes, entrar al navegador e inclusive realizar llamadas telefónicas sin siquiera haber tocado los teléfonos. Aunque Google publicó un parche para esta vulnerabilidad, al probar el mismo “exploit” en la versión ya parchada, sorprendentemente volvió a funcionar. Esto implica que, si se utiliza un teléfono compatible con tecnología NFC, se corre el riesgo de sufrir riesgos a la privacidad, ya que se puede acceder a la información y a funciones del teléfono de manera remota.

Sabiendo que esta tecnología y dispositivos son cada vez más comunes, es necesario hacer conciencia sobre las repercusiones que podrán presentarse por su mal uso. Por ejemplo, el hackeo a tarjetas de metrobús/metro podría derivar en la obtención de pases gratuitos para muchos usuarios, pero para el gobierno significaría una gran pérdida de dinero. En las empresas, si se clonara alguna tarjeta de acceso, los daños podrían ir desde robos materiales hasta la pérdida de información sensible con las consiguientes pérdidas económicas. El peor escenario es lo que pasaría si alguien pudiera obtener acceso a las tarjetas bancarias, pues además de las obvias pérdidas económicas, los daños podrían ir más allá por el robo de datos personales de los cuentahabientes.

Haciendo conciencia de los riesgos, y para sorpresa de muchos o temor de otros, no se necesita tener costosas y sofisticadas herramientas para perpetrar estos ataques, bastaría con un poco de navegación en Internet para ir recopilando todo lo necesario para obtener los conocimientos suficientes sobre los protocolos utilizados en las transmisiones de RFid/NFC, así como los algoritmos de cifrado que se utilizan e, inclusive, es posible encontrar tutoriales para violar la seguridad.

.

[email protected]

.

Referencias:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*