Tarjetas, carnets o pasaportes con RFID: ¡no, gracias!

Hace tiempo que no escribo sobre este tema por no parecer pesada (ver el disclaimer abajo). Pero es que lo del uso del RFID está cada vez peor. Se cumplen los pronósticos que decían que 2008 sería el año en que «rompería» esta industria. Ya tenemos el chip en el pasaporte. En el bonobús. En la tarjeta de alquiler de bicis urbanas. En otros países ya les han llegado las tarjetas de crédito con RFID. Debido a grupos de presión como CASPIAN en Estados Unidos, a asociaciones como Privacy International, EDRi (y  en mucha menor medida a blogeros como yo, que ponemos un granito de arena)  el nombre RFID tiene connotaciones negativas y por lo tanto ha empezado la gran búsqueda del eufemismo para esta tecnología: contactless (sin contacto), over the air (a través del aire) son mis favoritos.

Hay otra razón por la que parece que esta industria «rompe». Si ya estaba demostradísimo que el chip RFID del pasaporte se podía clonar, así como que debido a una malísima elección de claves de encriptación, era fácil de crackear… ahora resulta que el gobierno holandés (¡al fin un gobierno que se preocupa por sus ciudadanos!) denuncia que uno de los modelos de chip RFID más extendido para todo tipo de aplicaciones (tarjetas bonobús, pero más preocupante, tarjetas de crédito) se puede crackear sin problema.

Y para hacerlo más visual, aquí vienen los de boing boing y publican este video en que se muestra cómo se hace esto con la ayuda de material electrónico que se puede comprar por eBay al módico precio de ¡ocho dólares!

Por si no ha quedado claro: alguien con ocho dólares y un poco de tiempo y habilidad para seguir cuatro instrucciones es capaz de acceder a los datos de tu tarjeta de crédito, clonarla, hacer lo que le dé la gana con ella.

Yo tengo claro que mi pasaporte vive dentro de una funda protectora para pasaporte RFID, y mi tarjeta del bicing en mi cartera con jaula de Faraday. No tengo tarjeta de crédito con RFID ni espero tenerla nunca. Que no me dejen escoger la versión con banda magnética será para mí razón suficiente para cambiar de banco.

Seré feliz cuando pueda cerrar ProteccionRFID cuando nuestros gobiernos escuchen a los expertos y comprendan de una puñetera vez que por mucho que insistan los fabricantes, esto de usar RFID para temas que requieren un mínimo de seguridad es una auténtica estupidez, y debería ser abolido.

(Disclaimer: ProteccionRFID es una pequeña iniciativa personal para promocionar carteras y fundas con jaula de Faraday en España)

Un comentario sobre “Tarjetas, carnets o pasaportes con RFID: ¡no, gracias!”

  1. «Por si no ha quedado claro: alguien con ocho dólares y un poco de tiempo y habilidad para seguir cuatro instrucciones es capaz de acceder a los datos de tu tarjeta de crédito, clonarla, hacer lo que le dé la gana con ella.»

    Ni en 2008…

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.