Category Archives: Protección RFID

Si el RFID es tan seguro… ¿por qué censuraron este programa?

Cuando era cliente de ONO disfrutaba de televisión por cable. Por dos razones principalmente: porque la caja tonta, versión canales “en abierto” es infumable, y porque aunque la tele sea tonta en todas partes, el ver la tele de otros países al menos te informa de qué tipo de tonterías televisan allende nuestras fronteras.

De vez en cuando hay programas de entretenimiento con auténtico valor: uno de ellos el programa de “Mythbusters” (cazadores de mitos) del Discovery Channel. ¿Cuándo más iba uno a poder descubrir si es cierto que un ventilador de techo te puede decapitar, si es posible propulsar un fueraborda con aire comprimido, si sería posible desarrollar un motor de pólvora? Me parece muy estimulante la fórmula de hacer que la gente manitas e inteligente resulte “cool” al mismo tiempo. Y qué diantres, como soy algo friki yo misma pues disfrutaba mucho de este programa.

Por eso me estoy regodeando con esta noticia recogida en varios medios, entre ellos el blog Kriptópolis, sobre las declaraciones de Adam Savage, presentador del programa, en la última converencia HOPE (hackers on planet earth) cuando le preguntaron si en alguna ocasion se les ocurrió dedicar un programa a intentar desmontar el “mito” (para el público en general, “evidencia” para los científicos) de que las tarjetas RFID se pueden leer a distancia.

Parece ser que sí se les ocurrió, pero entonces los abogados de VISA y American Express se les lanzaron a la yugular. A base de amenazas lograron hacerles desistir de su propósito. Dice Savage: “Aún siento escalofríos al recordar aquella reunión”.

En mi pueblo dicen que si el río suena, agua lleva. A mí lo que me parece de vergüenza es que si VISA y American Express están tan poco convencidos de la seguridad de sus nuevas tarjetas de crédito con RFID… ¿por qué se las venden a millones de personas?

No es por insistir, pero una buena jaula de Faraday previene de lecturas indeseadas. Y no tiene por qué ser un cacho aluminio… en ProtecciónRFID las hacemos con forma de cartera de piel.

Tarjetas, carnets o pasaportes con RFID: ¡no, gracias!

Hace tiempo que no escribo sobre este tema por no parecer pesada (ver el disclaimer abajo). Pero es que lo del uso del RFID está cada vez peor. Se cumplen los pronósticos que decían que 2008 sería el año en que “rompería” esta industria. Ya tenemos el chip en el pasaporte. En el bonobús. En la tarjeta de alquiler de bicis urbanas. En otros países ya les han llegado las tarjetas de crédito con RFID. Debido a grupos de presión como CASPIAN en Estados Unidos, a asociaciones como Privacy International, EDRi (y  en mucha menor medida a blogeros como yo, que ponemos un granito de arena)  el nombre RFID tiene connotaciones negativas y por lo tanto ha empezado la gran búsqueda del eufemismo para esta tecnología: contactless (sin contacto), over the air (a través del aire) son mis favoritos.

Hay otra razón por la que parece que esta industria “rompe”. Si ya estaba demostradísimo que el chip RFID del pasaporte se podía clonar, así como que debido a una malísima elección de claves de encriptación, era fácil de crackear… ahora resulta que el gobierno holandés (¡al fin un gobierno que se preocupa por sus ciudadanos!) denuncia que uno de los modelos de chip RFID más extendido para todo tipo de aplicaciones (tarjetas bonobús, pero más preocupante, tarjetas de crédito) se puede crackear sin problema.

Y para hacerlo más visual, aquí vienen los de boing boing y publican este video en que se muestra cómo se hace esto con la ayuda de material electrónico que se puede comprar por eBay al módico precio de ¡ocho dólares!

Por si no ha quedado claro: alguien con ocho dólares y un poco de tiempo y habilidad para seguir cuatro instrucciones es capaz de acceder a los datos de tu tarjeta de crédito, clonarla, hacer lo que le dé la gana con ella.

Yo tengo claro que mi pasaporte vive dentro de una funda protectora para pasaporte RFID, y mi tarjeta del bicing en mi cartera con jaula de Faraday. No tengo tarjeta de crédito con RFID ni espero tenerla nunca. Que no me dejen escoger la versión con banda magnética será para mí razón suficiente para cambiar de banco.

Seré feliz cuando pueda cerrar ProteccionRFID cuando nuestros gobiernos escuchen a los expertos y comprendan de una puñetera vez que por mucho que insistan los fabricantes, esto de usar RFID para temas que requieren un mínimo de seguridad es una auténtica estupidez, y debería ser abolido.

(Disclaimer: ProteccionRFID es una pequeña iniciativa personal para promocionar carteras y fundas con jaula de Faraday en España)

El colmo: lector de pasaporte RFID, crackeado

Es el colmo. Si ya hemos hablado aquí incontables veces de lo lamentable, vergonzoso, patético, peligroso e irracional que es que el Gobierno de todos los países de la UE, de EEUU, y de otros países hayan obligado a sus ciudadanos a adoptar el precario pasaporte electrónico o pasaporte RFID, que se puede leer a distancia, y que ha sido crackeado, pues ahora viene algo peor.

Lukas Grunwald, el pionero en esto de demostrar las vulnerabilidades del pasaporte, ha dado un giro de tuerca al asunto… logrando crackear EL LECTOR de pasaporte RFID que tienen los agentes de migración en los países anteriormente citados.

Esto debido a una vulnerabilidad en torno al tratamiento de la foto almacenada electrónicamente. Lukas ha logrado modificar un pasaporte para que al leerlo, “secuestre” el lector, que a partir de ese momento hará lo que le diga quien lo controla (por ejemplo, dar como bueno los 30 siguientes pasaportes que se lean, lo cual si pensamos, dejaría a las 30 siguientes personas de la cola pasar, independientemente de lo “chungo” de su pasaporte)

Los links a la noticia:
eliax.com
Wired (en inglés)

Y por supuesto, y por favor… si vuestro pasaporte se ha expedido a partir de agosto del 2006, es RFID, así que no salgáis de casa sin protegerlo. O lo envolvéis en papel de aluminio, o le compráis una funda de piel con jaula de Faraday de las nuestras. Si alguien jode un lector RFID, que lo haga… pero no con una copia clonada de vuestro pasaporte.

Más polvo RFID de Hitachi

En Sombra Digital nos topamos con este post en el que describen las minúsculas etiquetas RFID que pretenden integrar “con todo”. Cuadraditos de 0,05 x 0,05 mm, más pequeños que un grano de arena, fácilmente integrados en celulosa que luego se pudiera utlizar para el embalaje de objetos de valor, o las tapas de tu pasaporte.

El artículo se titula “microprotección”. Yo le llamaría “macrodesprotección”. Ojo al dato y tiempo al tiempo, van a acabar colocándonos los chips RFID no con la cutrez del Verichip, sino integrado en los empastes de las muelas.

The Inquirer: las tarjetas de pago con RFID no cumplen las normas básicas de seguridad


http://es.theinquirer.net/2006/10/24/rfid_en_tarjetas_de_credito_po_1.html

Leo en un número de enero de The Inquirer que, según un reportaje del NYTimes, las compañías que emiten tarjetas de pago con RFID (chip que se puede leer sin contacto y a distancia) no cumplen las normas básicas de seguridad. Según estas empresas, las tarjetas deberían incluir cifrado de al menos 128 bits pero aceptan que esta norma raramente se cumple. El motivo es el coste: a más cifrado, más cara es la tarjeta, y para que les salgan rentables, han de salir más baratas o al menos no más caras que tarjetas que integren la archiconocida y ultrabarata banda magnética. El resultado es que una lectura a distancia indeseada puede desembocar en un clonado de tu tarjeta (y consecuente vaciado de tu cuenta corriente).

La confederación española de cajas de ahorros junto con MasterCard están preparando una tarjeta 6000 de débito que será a la vez una PayPass, es decir, que incorpora chip RFID.

Hay que decir que no a estas tarjetas, los experimentos con gaseosa, y no con TUS AHORROS, con TU DINERO. Por supuesto, que si ya te han enchufado una… siempre nos quedarán las carteras protectoras de RFID (http://www.proteccionrfid.com) que aquí publicitamos en el lado derecho del blog.

Mi primera tarjeta RFID


El programa de alquiler de bicis en Barcelona, el maravilloso bicing, tiene para mí un fallo colosal: se sirve de RFID para controlar las entregas y recogidas de las bicicletas, y encima la tarjeta de usuario lleva también RFID.

Así que ahora no salgo de casa sin mi cartera billetera con jaula de Faraday, que evita las lecturas indeseables de la tarjeta, y tengo experiencia diaria de que funciona, ¡vaya que si funciona! porque si no abro la cartera junto al lector, pues no se efectúa la lectura.

Aunque lo verdaderamente importante de la experiencia es que esas ventajas tan increíbles que nos intentan vender los defensores del RFID en la práctica no aplican. A mí me parece alucinante que todo el mundo, sin excepción, que he visto sacar una bici antes que yo, saca la tarjeta de su tarjetero y la pega, físicamente, al lector. Así que ni facilidad de uso, ni ahorro de tiempo, ni narices. Tardan lo mismo que si usaran una tarjeta convencional con banda magnética, pero eso sí, llevan la tarjeta expuesta a una lectura no deseada, que alguien se clone tu tarjeta bicing (que no requiere ningún tipo de contraseña para utilizarse) y monte un negocio de venta de bicis “guays” a tu costa. Porque hay que recordar no devolver una bici de éstas en 24 horas supone un “palo” de 150 euros, cobrados directamente a la tarjeta de crédito que utilizaste en el momento de darte de alta en el servicio.

A partir de ahora esto va a ser una avalancha de plástico RFID, y si no, recuerden este comentario.

American Express presenta patente para hacer seguimiento de personas por el RFID de su tarjeta de crédito

Leemos en la Newsletter de Caspian que American Express ha presentado una patente que describe un método de hacer seguimiento de personas por un centro comercial mediante lecturas continuas y sin consentimiento del chip RFID de sus tarjetas de crédito.

Si cuando decimos que el RFID debe ser regulado… es por algo.

No quiero insistir… pero hay que proteger tanto los pasaportes, como las tarjetas de crédito que lleven RFID.

Llegan a España las tarjetas de pago RFID


Rebuscando información para un artículo sobre la implantaciónde un sistema de pago Paypass en los McDonald’s de Monterrey, México, me encuentro de rebote con varias notas de prensa sobre la tarjeta PayPass que MasterCard y la CECA (confederación española de cajas de ahorros), con la ayuda de sus partners tecnológicos Gemplus (fabricante de chips RFID) e Ingénico.

Parece ser que esta tarjeta se podrá utilizar para pequeños pagos. En las notas de prensa indican que el rango de lectura es de 7 cm. ¿Quién no ha ido “ensardinado” en el metro y con todo el cuerpo serrano a menos de esa distancia de los compañeros del vagón? Mala, mala noticia que en nombre de no sé qué beneficio de algunas empresas se permita que traguemos con una tecnología poco probada y que facilita la clonación de tarjetas.

Vía Financial Tech Magazine.
Vía noticias.com.