El viernes pasado, el periódico británico The Guardian publicó un artículo impagable sobre la mala seguridad de los pasaportes RFID emitidos por el Home Office (ministerio del interior) británico.
El articulista, junto con un miembro de la campaña No2ID, y un experto en seguridad informática, lograron copiar la información contenida en el chip RFID de no solamente uno, sino tres pasaportes. En solo un fin de semana.
Lindezas que aprendemos en el artículo:
- A pesar de haber metido encriptación 3DES en el chip, está mal hecho, porque la clave de encriptación es una combinación del número de pasaporte, fecha de nacimiento y fecha de caducidad del pasaporte (un número aleatorio de clave y un algoritmo 3DES significaría millones de años de tiempo de ordenador para hallar la clave. Pero al ser números de este estilo el número de combinaciones es mucho menor y hace mucho más probable poder romper la seguridad).
- Podían haber hecho que el chip se «bloquease» tras tres intentos de lectura (igual que hace el cajero automático con tu tarjeta si te equivocas tres veces al meter el PIN), pero lo consideraron «no necesario».
- Sin intentarlo mucho, lograron leer el chip contenido en el pasaporte desde una distancia de 7,5 cm. Si nos imaginamos la distancia que separa a las personas en un vagón de metro, nos hacemos una idea que es suficiente como para leer la información «a distancia».
- No intentaron clonar el chip por considerar esta actitud ilegal, pero aseguran que es posible hacerlo – solo hay que comprar un chip RFID del mismo modelo y grabarle la información copiada.
Tras este experimento, No2ID está reclamando al gobierno británico para que retire los 3 millones de pasaportes RFID que ya ha emitido.
Por cierto, que dicen que el lunes 20 en Channel 4 a las 9 de la noche van a emitir un documental enseñando todo este fin de semana de trajinar con el pasaporte RFID. De hecho el documental se titula Suspect Nation (nación de sospechosos) y explica con pelos y señales todas las acciones del gobierno de Blair desde 1997 que están imponiendo un estado de vigilancia sobre los británicos.
Si alguien lo graba y lo sube a YouTube, agradeceré el link…