RFID

Leemos en la web del Instituto Nacional de Tecnología de la Comunicación:

«El Instituto Nacional de Tecnologías de la Comunicación (INTECO), y la Agencia Española de Protección de Datos (AEPD), publican una Guía sobre "seguridad y privacidad de la tecnología RFID", ante la proliferación de estos sistemas en elementos de la vida cotidiana de los ciudadanos.

En dicha guía, disponible desde hoy en las páginas Web de ambos organismos (www.inteco.es, www.agpd.es, respectivamente), se analiza el funcionamiento de esta tecnología, los tipos de dispositivos existentes en la actualidad y sus usos y aplicaciones principales. Asimismo, se recogen de forma destacada los riesgos existentes en materia de seguridad, privacidad y protección de los datos en el empleo, e implantación de los dispositivos de identificación por radio frecuencia, en diversos ámbitos, y las garantías exigibles para prevenirlos.»

La han publicado hoy mismo. Son 49 páginas y 2.8MB descargables desde la página de ambos organismos. Aún no he tenido tiempo de leerla, pero parece interesante.

Wal-Mart va a añadir una etiqueta RFID a cada artículo individual que venda. Ya fueron los primeros en empujar enormemente la implantación de esta tecnología cuando se negaron a comprar artículos a proveedores que no utilizaran estas etiquetas para marcar los palés, con toda seguridad este movimiento servirá para extender esta tecnología (la llamen como la llamen) aún un poco más. Si el etiquetado de palés tiene una justificación en la optimización de la gestión de stocks en almacenes enormes donde es fácil que se extravíen, etiquetar cada artículo individual no ayuda a la gestión de stocks, la justificación hay que buscarla en el seguimiento de personas con fines comerciales.

Gracias al siempre atento tío Rinze llego al curioso caso de un británico que dice haber sido infectado con un virus informático (20minutos) [Nota curiosa: el enlace de 20minutos es posterior al post de Rinzewind, cosas de enlazar a búsquedas dinámicas en Google news.]

¿Es eso posible? No. Pero el caso es realmente diferente: <ironía> este tipo tuvo la genial idea de implantarse un chip RFID perfectamente trazable </ironía> (y cuya trazabilidad estará siempre fuera de tu control a menos que te compres unos guantes-jaula de faraday) para poder abrir sin esfuezo según que puertas que le identificarían conforme se acerca. ¡Esto es el futuro! debió pensar. Pero algo salió mal: alguien logró infectar el chip y vulnerar la supuesta seguridad que le ofrecía.

El tipo va diciendo por ahí que es el primer humano en infectarse con un chip informático. No. Ah, qué terca la realidad. Tu chip es defectuoso por diseño y tan sólo era cuestión de tiempo que alguien te diera un baño. Ese virus no te ha infectado, no te incapacita para nada. Si este chico hubiera evaluado adecuadamente el sistema de seguridad que se iba a utilizar en su laboratorio, seguramente habría escogido bien y su seguridad no habría sido vulnerada. Claro que tampoco habría tenido sus quince minutos de fama.

Escoger bien implica no utilizar como sistema de llave implantado y no desactivable un dispositivo electrónico susceptible de un ataque de clase capaz de romper a la vez y dejar vulnerables gran cantidad de ellos, que tengan un diseño similar, como sucedió cuando se rompió el cifrado de una gran cantidad de chips RFID usados para abonos de transporte. (Y eso considerando que el cifrado en un dispositivo como ése sirva para algo, es algo cuestionable.)

El debate sobre la RFID es viejo. Incluso en este blog hace tiempo que le prestamos menos atención que antes: pero protestamos tanto sobre los riesgos de seguridad, los abusos que se planeaban, lo injusto de los enfoques con que se diseñaba su uso, que incluso algunos Estados prohibieron el implante de estos chips como condición para acceder a un puesto de trabajo, además de limitar la información que contienen estos chips.

Pero bueno, tenemos un capullín británico que dice ser el primer ser humano infectado por virus informático. No es así, y en realidad queda claro que evaluó mal los riesgos y tomó una decisión equivocada. Siempre supe que a la gente le gusta ganar incluso los concursos de tontos, pero llamar a los medios e irse a publicarlo a la red para quedar en los anales ya me parece el colmo. Hay gente para todo.

[Foto: Dave Arquati]

Me entero vía correo electrónico (gracias, David) que la empresa de transporte público de Barcelona planea introducir billetes de viaje con RFID para 2011 (TransporteBCN.es).

La empresa de transporte se ha decantado por un sistema «sin contacto» comercializado por NXP (Philips), el sistema Desfire que utiliza RFID, aunque en la web de la ATM (ni en la del fabricante) no aparezca el término tabú en ningún momento.

Introduciendo este tipo de billete, la ATM espera reducir el tiempo de espera en la subida al autobús. Habiendo vivido ya más de 10 años en una ciudad con RFID en su transporte público (Málaga) puedo decir que la ganancia en tiempo es despreciable. Pero la mejora en monitorización de hábitos de transporte seguro que mejora bastante.

¿Quieren ahorrar tiempo subiendo al bus y que sea más rápido? Eliminen los tornos y la necesidad de subir por la puerta delantera. Entrada libre al bus, aumentas el número de revisores o la cuantía de las multas por viajar sin billete, de forma que o (1) te cojan muchas veces o (2) la multa por viajar sin billete sea muy alta, de forma que no sea rentable viajar sin billete, y todos lo compren antes de subir. De mi experiencia viviendo en países como Alemania o Suiza puedo decir que ese sistema sí es sustancialmente más rápido. Y que en ninguno de esos países he tenido que usar un chip RFID para montar al bus ni al metro ni al tranvía.

Si existe un sistema de embarque rápido al bus y no se usa, y en su lugar se implanta uno que no acelera el embarque al bus, hemos de deducir que la finalidad del nuevo sistema no es acelerar el embarque. Y habrá muchos posibles fines (monitorización, publicidad, mejor control interno de los viajeros, ...), pero desde luego no ése que nos dicen. ¿Por qué mienten? Porque la verdad dañaría su imagen.

Diversos medios se hacen eco de una nueva pantalla multitouch que usa un lector RFID para identificar al usuario. En el fondo, se trata de una interfaz con la que usar una computadora conectada a una red, de forma que no tienes que irle diciendo al sistema quién eres porque él ya te está identificando. El ejemplo que dan en CreativityOnline (via Engadget) es el de una intranet de un edificio de oficinas. Estas pantallas se extienden por el edificio y tú te conectas a la pantalla para interactuar con el sistema, que inmediatamente te identifica y te ubica en las pantallas para que todos los demás puedan localizarte. Así mismo, tú puedes localizar a otros compañeros en el edificio e interactuar con ellos. Otro ejemplo que ponen es publicitario: hablan de ofrecer anuncios personalizados basados en la identidad del usuario, al estilo Minority Report.

Como interfaz para intranets, no me parece nada muy nuevo respecto de cualquier otro sistema de intranet corporativo, excepto porque supuestamente no te tienes que loguear en el ordenador, que te identifica a ti automáticamente usando un chip RFID. Bueno, a ti o a cualquiera que lleve un chip como el tuyo (NdT: clonado, o prestado). Imagino que toda esa facilidad que dicen que añade se debe a que supuestamente eliminan la necesidad de introducir una contraseña para identificarte en la intranet. Si es así, es una metedura de pata en materia de seguridad; si no es así, el avance en comodidad no es tal y es más un vender la moto a toda costa. La ID del chip no asegura que soy yo, sólo identifica, lo que debe asegurar (si está bien escogida) que soy yo el que está en el pc es la contraseña. Eliminar dicha contraseña no es algo que se pueda hacer sin coste para la seguridad del sistema.

En todo caso, añadir más capacidades de seguimiento y control laboral y publicitario no parece que vaya a mejorar nuestra calidad de vida en un entorno en el que en muchas ocasiones está ya altamente controlado todo lo que hacemos. Igualmente, en un entorno en que los datos representan el gran tesoro ignorado por casi todos, darle aún más control a anunciantes de todo tipo a costa de nuestra privacidad no parece tolerable.

Por cierto, que esta aplicación de pantallas multitáctiles usando RFID fue lo primero en lo que pensamos en su día cuando se presentó (con mucha fanfarria y alto silencio en los meses posteriores) Microsoft Surface.

[En La sociedad de control, hay todo un capítulo dedicado a cómo las nuevas formas de publicidad erosionan nuestra privacidad.]

Miguel Almeida ha recuperado su blog y nos cuenta que los pasaportes rfid portugueses también han sido crackeados, como era de esperar. Además nos descubre RFIDIOt, una utilidad licenciada bajo GPL (soft libre) para interactuar con chips RFID.

Hace muchos años jugué mucho a rol. En Cyberpunk, el juego de rol, existía la posibilidad de comprar implantes biónicos por una cierta cantidad de dinero. A veces, cuando no podías pagarlos, podías convertirte en esclavo de una macrocorporación implantándote además de tu pieza biónica un chip con el que te podían matar si desobedecías a la corporación. En ese juego podías querer algo, pero debías pagar el precio. A veces muy alto.

Cuando vi que habían denegado una solicitud de patente sobre un chip RFID implantable que incluía una cápsula de cianuro (FW, gracias por el chivatazo) que podía ser liberada de forma remota para matar al individuo con el chip implantado no pude más que pensar en esos personajes de ficción esclavos que habitaban el mundo de Cyberpunk. Y luego pensé que en el mundo real hay más cabrones por metro cuadrado que en el Gotham de Tim Burton [el mejor Gotham, sin duda].

Y sin embargo, la noticia no es que hayan inventado esta barbaridad, sino que han denegado la patente a tan detestable invento, que había sido solicitada en Alemania. Al menos los tribunales rechaza esta propuesta, aunque aún cabe preguntarse si muestran un mínimo de ética o inteligencia de autoconservación, al fin y al cabo, ¿cómo justificaría el Estado de cara a la ciudadanía la concesión de un monopolio de explotación exclusiva en un artículo tan polémico como éste?

Por lo demás... el chip es una muy mala idea, pero eso ya lo habíais deducido vosotros solos sin que yo os lo dijera.

Relacionado: sobre RFID y algunos de sus controvertidos usos hemos hablado mucho en el blog. También hablo mucho de ello en el libro.