RFID

[Foto: Dave Arquati]

Me entero vía correo electrónico (gracias, David) que la empresa de transporte público de Barcelona planea introducir billetes de viaje con RFID para 2011 (TransporteBCN.es).

La empresa de transporte se ha decantado por un sistema «sin contacto» comercializado por NXP (Philips), el sistema Desfire que utiliza RFID, aunque en la web de la ATM (ni en la del fabricante) no aparezca el término tabú en ningún momento.

Introduciendo este tipo de billete, la ATM espera reducir el tiempo de espera en la subida al autobús. Habiendo vivido ya más de 10 años en una ciudad con RFID en su transporte público (Málaga) puedo decir que la ganancia en tiempo es despreciable. Pero la mejora en monitorización de hábitos de transporte seguro que mejora bastante.

¿Quieren ahorrar tiempo subiendo al bus y que sea más rápido? Eliminen los tornos y la necesidad de subir por la puerta delantera. Entrada libre al bus, aumentas el número de revisores o la cuantía de las multas por viajar sin billete, de forma que o (1) te cojan muchas veces o (2) la multa por viajar sin billete sea muy alta, de forma que no sea rentable viajar sin billete, y todos lo compren antes de subir. De mi experiencia viviendo en países como Alemania o Suiza puedo decir que ese sistema sí es sustancialmente más rápido. Y que en ninguno de esos países he tenido que usar un chip RFID para montar al bus ni al metro ni al tranvía.

Si existe un sistema de embarque rápido al bus y no se usa, y en su lugar se implanta uno que no acelera el embarque al bus, hemos de deducir que la finalidad del nuevo sistema no es acelerar el embarque. Y habrá muchos posibles fines (monitorización, publicidad, mejor control interno de los viajeros, ...), pero desde luego no ése que nos dicen. ¿Por qué mienten? Porque la verdad dañaría su imagen.

Diversos medios se hacen eco de una nueva pantalla multitouch que usa un lector RFID para identificar al usuario. En el fondo, se trata de una interfaz con la que usar una computadora conectada a una red, de forma que no tienes que irle diciendo al sistema quién eres porque él ya te está identificando. El ejemplo que dan en CreativityOnline (via Engadget) es el de una intranet de un edificio de oficinas. Estas pantallas se extienden por el edificio y tú te conectas a la pantalla para interactuar con el sistema, que inmediatamente te identifica y te ubica en las pantallas para que todos los demás puedan localizarte. Así mismo, tú puedes localizar a otros compañeros en el edificio e interactuar con ellos. Otro ejemplo que ponen es publicitario: hablan de ofrecer anuncios personalizados basados en la identidad del usuario, al estilo Minority Report.

Como interfaz para intranets, no me parece nada muy nuevo respecto de cualquier otro sistema de intranet corporativo, excepto porque supuestamente no te tienes que loguear en el ordenador, que te identifica a ti automáticamente usando un chip RFID. Bueno, a ti o a cualquiera que lleve un chip como el tuyo (NdT: clonado, o prestado). Imagino que toda esa facilidad que dicen que añade se debe a que supuestamente eliminan la necesidad de introducir una contraseña para identificarte en la intranet. Si es así, es una metedura de pata en materia de seguridad; si no es así, el avance en comodidad no es tal y es más un vender la moto a toda costa. La ID del chip no asegura que soy yo, sólo identifica, lo que debe asegurar (si está bien escogida) que soy yo el que está en el pc es la contraseña. Eliminar dicha contraseña no es algo que se pueda hacer sin coste para la seguridad del sistema.

En todo caso, añadir más capacidades de seguimiento y control laboral y publicitario no parece que vaya a mejorar nuestra calidad de vida en un entorno en el que en muchas ocasiones está ya altamente controlado todo lo que hacemos. Igualmente, en un entorno en que los datos representan el gran tesoro ignorado por casi todos, darle aún más control a anunciantes de todo tipo a costa de nuestra privacidad no parece tolerable.

Por cierto, que esta aplicación de pantallas multitáctiles usando RFID fue lo primero en lo que pensamos en su día cuando se presentó (con mucha fanfarria y alto silencio en los meses posteriores) Microsoft Surface.

[En La sociedad de control, hay todo un capítulo dedicado a cómo las nuevas formas de publicidad erosionan nuestra privacidad.]

Hace muchos años jugué mucho a rol. En Cyberpunk, el juego de rol, existía la posibilidad de comprar implantes biónicos por una cierta cantidad de dinero. A veces, cuando no podías pagarlos, podías convertirte en esclavo de una macrocorporación implantándote además de tu pieza biónica un chip con el que te podían matar si desobedecías a la corporación. En ese juego podías querer algo, pero debías pagar el precio. A veces muy alto.

Cuando vi que habían denegado una solicitud de patente sobre un chip RFID implantable que incluía una cápsula de cianuro (FW, gracias por el chivatazo) que podía ser liberada de forma remota para matar al individuo con el chip implantado no pude más que pensar en esos personajes de ficción esclavos que habitaban el mundo de Cyberpunk. Y luego pensé que en el mundo real hay más cabrones por metro cuadrado que en el Gotham de Tim Burton [el mejor Gotham, sin duda].

Y sin embargo, la noticia no es que hayan inventado esta barbaridad, sino que han denegado la patente a tan detestable invento, que había sido solicitada en Alemania. Al menos los tribunales rechaza esta propuesta, aunque aún cabe preguntarse si muestran un mínimo de ética o inteligencia de autoconservación, al fin y al cabo, ¿cómo justificaría el Estado de cara a la ciudadanía la concesión de un monopolio de explotación exclusiva en un artículo tan polémico como éste?

Por lo demás... el chip es una muy mala idea, pero eso ya lo habíais deducido vosotros solos sin que yo os lo dijera.

Relacionado: sobre RFID y algunos de sus controvertidos usos hemos hablado mucho en el blog. También hablo mucho de ello en el libro.

Gracias a The Register llego a una nota de prensa en la que la UE hace sus recomendaciones sobre el uso de chips RFID.

• Los consumidores deberían tener el control sobre si sus productos tienen (o no) chips RFID. Al comprar, los chips deberían ser desactivados automáticamente sin cargo adicional en el punto de venta, excepto que mediante opt-in el cliente decida lo contrario.
• Quienes implanten RFID en sus productos deberían dar información a los consumidores sobre las implicaciones de estos chips en la privacidad.
• Asociaciones de vendedores deberían informar acerca de los productos conteniendo RFID mediante el etiquetado de los productos que incluyan estos chips.
• Empresas y autoridades deberían realizar evaluaciones de impacto en la privacidad y protección de datos antes de usar chips RFID, para asegurar que los datos están bien asegurados

Visto así, una sarta de tonterías. ¿Seguridad en los datos de un chip RFID, que se asegure que nadie puede leerlo sin permiso? Sencillamente: hablar es gratis. Recomendar sin implicaciones sale aún más barato. Es lo que tiene recomendar desde la frivolidad del que sabe que lo que se está recomendando no tiene porqué cumplirlo nadie ni lo va a poder cumplir (¿cómo conseguimos que nadie nos lea los chips rfid?).

Y ojo, no es que esté en desacuerdo con el hecho de que los chips sean eliminables, que los productos estén etiquetados y demás. La misma UE ya se pronunció en contra del implante en fuente de estos chips por no cumplir estas medidas.

Lo que me hace desconfiar es que estas recomendaciones (no obligaciones) sobre RFID llegan años después de que documentación oficial como son los pasaportes incluyan estos chips.

«Ningún europeo debería llevar un chip en alguno de sus bienes sin saber exactamente qué es, o sin la opción de retirarlo o desactivarlo en cualquier momento.»

- Viviane Reding, comisaria europea, lo dijo al hilo del anuncio que comentamos anteriormente
(gracias, DavidM)

En realidad, Reding se está posicionando con esa frase en contra del implante en origen de chips RFID (como el que tiene lugar en los zapatos), ya que es este tipo de implante de chips el que habitualmente no se puede eliminar de ninguna forma y el que pasa más desapercibido para todos nosotros.

¿Es ésta la misma Viviane Reding que se alinea en contra del p2p? Sí, lo es. De hecho, es la misma Reding ya anunció a finales de 2006, al anunciar las conclusiones de la consulta pública sobre RFID que «si hiciera falta una ley sobre RFID que satisfaga las peticiones ciudadanas se haría». El resultado de la consulta fue, como pueden imaginar, de rotundo rechazo a la RFID y a su influencia en nuestra privacidad.

Estamos en 2009 y la legislación sobre no ha llegado (y casi ni se la espera). De hecho, todo el plan maestro sobre RFID de la comisión europea se limitó a hacer otra consulta, casi 2 años después. Purito síndrome de la gestapo.

Como quiero mirar en positivo, voy a creer que esta declaración es un hálito de esperanza. Aquí somos de la opinión de que ningún objeto debería incluir RFID que no sean eliminables a voluntad del usuario sin destruir el objeto ni perder la garantía. Incluso tenemos una pequeña noción de lo que le pediríamos a una ley que regulase el uso de RFID.

Bonitas palabras, pero permitanme ser escéptico una vez más. No sé, quizá para 2015, cuando tengamos RFID hasta en los dientes y lleven años por todas partes, la UE se limitará a aprobar su uso, como hicieron con los RFID en los pasaportes. Por cierto, ¿crees que Reding se ocupa de que los ciudadanos sepan lo que hay en esos pasaportes? Cuando yo recibí el mío no lo sabía ni la misma policía que me lo estaba haciendo (chanante).

En fin... mañana más. Y no olviden que sobre RFID, aunque últimamente lo tratemos menos, hablo bastante en La sociedad de control ;)

No puedo evitar pensar cada dos por tres lo bien que le funciona a la maquinaria de la Unión Europea su sistema de propaganda.

¿Cuánto tiempo hace que comenzamos a dar la alerta acerca de los pasaportes RFID (popularmente conocidos como electrónicos o biométricos)? Años. Hace ya dos años que Estados miembros de la UE los emiten, entre ellos España (agosto 2006), pero también otros como Francia (julio 2008) y Alemania (octubre 2005). No he profundizado, pero estoy seguro que casi todos los Estados miembros los emiten hace mucho, ya que su introducción se debió a una exigencia de los Estados Unidos a la que la UE se plegó sin rechistar.

Desde que los grupos pro-libertades y pro-privacidad avisaron de la fácil vulnerabilidad de estos pasaportes ha transcurrido igualmente mucho tiempo y en este periodo esos pasaportes han sido clonados (incluso sin sacarlos del paquete en el que se envían) y se ha demostrado que su contenido puede ser modificado (con lo cual su supuesta fiabilidad queda en entredicho a la vez que se prueba las posibilidades de fraude y los agujeros de seguridad que hace posible su introducción por parte del Estado). Habida cuenta de todas estas amenazas y vulneraciones de seguridad, la desconfianza por parte de los que piensan que utilizar estos pasaportes redunda en un aumento de nuestra inseguridad (mediante, por ejemplo, el robo de identidad si se clona un pasaporte y se hace creer a un sistema que la persona que se encuentra en un determinado lugar no es la que efectivamente se encuentra allí) no ha hecho más que crecer.

Sin embargo, sólo es ahora cuando este tema alcanza a la agenda pública. Y lo hace porque el europarlamento (única institución europea elegida democráticamente y, dicho sea de paso, lejos de ser la más poderosa de estas instituciones) ha aprobado la utilización de estos pasaportes RFID. En realidad, y visto que estos pasaportes RFID llevan años emitiéndose, el europarlamento se ha limitado a legitimar una política Estatal por la siempre conveniente (para el poder) vía de los hechos consumados.

¿Por qué los emiten durante años y los legitiman con tanto retraso? ¿Por qué los legitiman si está más que probado que estos pasaportes son fácilmente duplicables y representan un aumento de nuestra inseguridad? Demasiadas preguntas sin respuesta para unas medidas que provienen de una institución macroestatal que tiene demasiada tendencia a introducir leyes, tecnologías y medidas de control sin razonar demasiado sus ventajas ni el coste en derechos y libertades que esta introducción lleva aparejado. ¿Para qué pensar en lo más conveniente para los ciudadanos?, se estará preguntando en estos momentos un oscuro funcionario de Bruselas que nunca visitará Málaga, Bari, Bochum o Bordeaux (quizá ni siquiera sepa localizar en el mapa esas ciudades).

Claramente, la Unión Europea camina por libre y no le sigue el paso, ni el pulso, ni a los ciudadanos ni a sus intereses. Y esta legitimidad tardía a unos pasaportes implantados por los Estados hace ya tanto tiempo que ha dado tiempo a probar sobradamente su inseguridad no hace más que demostrar que el vacío entre lo que la gente pide y lo que interesa a unas autoridades alejadas de la realidad cotidiana no hacen más que crecer.

[Al principio no pensaba dedicar a este asunto, que en este blog ya hemos tratado en profundidad, más que un minipost. Este post está escrito para ¡Esta Europa NO! y se lo debemos sobre todo a Arnau, que nos aguijoneó]

El dinero en efectivo es una rémora para la nueva industria publicitaria y aseguradora que pretende florecer y medrar mediante el profundo conocimiento de las personas, de sus hábitos y de los más ínfimos detalles de sus vidas. El dinero en efectivo es un agujero en la trazabilidad de nuestras costumbres diarias. Bendito agujero, por cierto.

Cada vez que pagamos en efectivo no se sabe quién paga y por tanto los publicistas del supermercado no pueden añadir nuestra compra a nuestro perfil para seguir conociéndonos cada vez mejor. Pero es que cada vez que pagamos en efectivo, nuestra aseguradora (que podría estar interesada en cada vez más detalles supuestamente irrelevantes de nuestra vida) no tiene la ocasión de verificar si actuamos de acuerdo a un hipotético patrón de conducta pactado en el seguro. Imaginen que igual que nos piden que encendamos el GPS, nuestro seguro médico nos prohíba comprar patatas fritas y al pagar con dinero en efectivo pudiéramos burlar esta norma. ¿Quién sería uno de los grandes interesados en que no paguemos en efectivo? El estado y nuestra aseguradora de salud estarán tan interesado como los publicistas del super en conocer qué hemos comprado.

La incipiente industria de la información personal, cuyo ejemplo más exitoso hasta ahora es Google (Facebook también promete llegar muy lejos a costa de reducir nuestra privacidad), que rascando mínimamente la información personal que obtiene de nosotros se ha convertido en una de las empresas más ricas del mundo, está por tanto ideando continuamente formas de pago más «cómodas» y «revolucionarias» que prometen hacer olvidar el dinero en efectivo. El último en pronunciarse al respecto ha sido uno de los directivos de VISA Europa, que apuesta a que dentro de 5 años el dinero en efectivo habrá desaparecido (Independent via Meneame).

Se equivoca de pleno y que habla con el corazón y no con la cabeza anteponiendo sus deseos a la situación más probable dentro de 5 años (para este hombre, ese escenario representa un éxito absoluto pues su empresa está en posición ventajosa para instaurar la nueva divisa digital). No creo que en un periodo de tiempo tan breve veamos una revolución tan fuerte en este ámbito. En cualquier caso, las consecuencias de un movimiento en esta dirección serían desastrosas y las comentamos hace meses en Hacia un mundo sin dinero en efectivo. Por supuesto, junto a aseguradoras y publicistas, el estado está igualmente interesado en saberlo todo sobre todos. Ahora que el contrato social se ha roto en la Unión Europea, el estado podría comenzar a cobrar impuestos adicionales a aquellos que no cumplan estrictas normas de alimentación saludable. Esto ya sucede en países como Suecia y se ha intentado introducir en Reino Unido, de forma que no sorprende que la UE quiera introducir chips RFID en los billetes de euro, que también reducirían el anonimato incluso cuando empleemos dinero en efectivo.

En definitiva, creo que la afirmación de este directivo de VISA es muy osada y que forma más de su mensaje publicitario que de una predicción verdadera, pero aún es cierto que hay una tendencia a abandonar el pago en efectivo para muchas de las cosas que hacemos regularmente. En todo caso, la reducción de los pagos anónimos es una tendencia a tener muy en cuenta cuando medimos y evaluamos la situación y la salud de nuestra privacidad, así como su situación futura.