No basta con escarmentar en cabeza ajena
Otro problema de seguridad y privacidad en marcha.... versión aumentada y corregida.
A pesar de que el pasaporte electrónico holandés ha sido craqueado hace unos meses y que la tecnología RFID, que se vendía como segura e incopiable, ha dejado de serlo, leo que a partir de 1 de agosto, seremos los españoles los que tengamos el problema en casa. Y eso que los legisladores europeos parecían conscientes del problema del RFID y tenían la intención de poner límites a la fiebre del RFID para todo.
De hecho, hasta los Estados Unidos, verdaderos promotores de este controvertido asunto, también están sufriendo serias críticas con el tema del RFID en los pasaportes, y han desistido de implantar un E-DNI. California, por ejemplo, ha decidido no permitir esta tecnología en los documentos oficiales, que lo hace extensivo a los E-DNI.
Hay un informe federal que avisa del error que puede suponer el uso de tecnologías pensadas para pagar en el supermercado, para aplicaciones más serias y además, expertos de renombre internacional, avisaron de lo que pasaría con el RFID en los pasaportes y de hecho, ha ocurrido en Holanda, por lo que no estaban desencaminados en sus críticas a la tecnología.
Lo más preocupante es que en el artículo de la revista 20 minutos en el que se nos informa de la mala noticia, se dice algo mucho grave y que no se puede pasar por alto, cito textualmente:
Además, la Dirección General de la Policía tiene previsto integrar en 2007 el pasaporte electrónico en el DNI electrónico, que se implantará progresivamente en España desde el 1 de marzo de este año.
Si el pasaporte con RFID ya se ha demostrado un problema para los holandeses, me cuesta trabajo encontrar un escenario más desfavorable que un E-DNI con pasaporte RFID incorporado de serie y repartido por Real Decreto. ¿Es que nadie se piensa dar cuenta de que eso es un peligro gravísimo para los ciudadanos que lo lleven el el bolsillo?. Yo siempre he pensado que el E-DNI podría llegar a ser un problema, pero después de esta la afirmación anterior y visto lo visto en Holanda, ahora tengo la certeza de que es un problema grave antes de que se ponga en circulación de forma masiva.
Los nuevos lectores son capaces de leer los tags RFID a 50 metros y visto lo visto en Holanda, no tiene mucho valor la afirmación de que los datos están protegidos por una clave, que se piensa dotar al pasaporte de unas tapas metálicas "a modo de caja de Faraday", o que el sistema cumple con las especificaciones Common Criteria, nada de esto sirve para mucho, seamos serios. Esto es lo que llamo una escalada de fallos acumulativos previstos/comprobados. El escenario es que cualquiera que disponga de la barata y asequible tecnología necesaria para leer el pasaporte/dni RFID puede acceder a los datos personales de cualquier incauto que lleve el dispositivo en su bolsillo y obrar en consecuencia, ya sea con malas o con buenas intenciones.... más claro el agua.
Insisto en lo que he repetido en los últimos meses, cada tecnología tiene unas aplicaciones y cada aplicación su tecnología. Si permitimos que una tecnología no adecuada se use en una aplicación tan crítica como el pasaporte o el DNI, tendremos graves problemas. ¿No escarmentaremos en cabeza ajena?
"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Fernando Acero, 10/02/2006 - 15:18