FIGURA 9 El carné es cargado

Fuente: Fotografía John Ramírez

2.5 Análisis de Resultados

Las pruebas evidenciaron serios problemas sobre esta tecnología, en ellas se pudieron comprobar varios riesgos existentes como la manipulación de la frecuencia, la manipulación de las etiquetas y como se puede engañar a un sistema por falta de verifi cación. También evidencia serias amenazas como la revelación de información por usuarios no autorizados, suplantación de identidad y ataques de intrusión pasiva.

Como se pudo observar, las pruebas llevadas a cabo vislumbraron problemas relacionados con la conservación de la privacidad de los datos en la etiqueta ISO 14443-A Mifare, estos problemas van desde observar los datos hasta efectuar modifi caciones sobre ellos.

En la primera prueba: “Bloqueo de frecuencia en la etiqueta”, se mostró cómo los diferentes materiales utilizados no impedían la comunicación entre etiqueta y lector, salvo el aluminio, que no permitía que el lector tuviese acceso a la etiqueta.

En la segunda prueba: “Lectura de datos ocultos en la etiqueta”, se mostró cómo puede ser vulnerado un sistema de claves y cómo por medio de este

descubrimiento se puede tener acceso a los datos almacenados en la etiqueta, lo preocupante de esta prueba es que el atacante obtiene datos legibles del propietario de la etiqueta. Estos datos están expuestos todo el tiempo sin ningún consentimiento del propietario.

En la tercera prueba: “Clonación de la etiqueta”, quizás la más preocupante de todas, permite que un atacante haga una copia exacta de una etiqueta, permitiéndole de esta manera utilizarla con todas las funcionalidades que esta tenga. Esta prueba se basa en la prueba anterior, ya que sin las claves de acceso, un atacante no podría siquiera ingresar a los datos originales.

En la cuarta prueba: “Validación de datos”, se mostró un problema de validación y autenticación ya que no existió una concordancia entre la etiqueta autenticada y la etiqueta que fue cargada con el saldo. Esta vulnerabilidad es delicada, ya que alguien pudiese obtener cargas de dinero de otras personas solo usando el medio de la persuasión. Se debe recordar que el ataque por medio de la Ingeniería Social3 _{es un problema en seguridad} informática y por más que existan herramientas antivirus y antispyware, frente a la mente humana toda herramienta de protección se vuelve inefi caz.

3. APROXIMACIONES A UN

MODELO TEÓRICO DE

SEGURIDAD

Conforme a lo observado en las pruebas llevadas a cabo en este trabajo, una recomendación inicial sería verifi car todos los procesos que se llevan a cabo con la etiqueta ISO 14443-A con Mifare, ya que se considera que presenta varias vulnerabilidades de seguridad que usadas de mala manera pueden traer consecuencias nefastas para la comunidad que la utilice.

3 En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confi dencial a través de la manipulación de usuarios legítimos. Visitada el 5 de Octubre de 2008. http://es.wikipedia.org/wiki/Ingenier%C3%ADa_ social_(seguridad_inform%C3%A1tica)

A continuación se listan las recomendaciones más importantes a tener en cuenta al momento de usar, adquirir y desarrollar aplicaciones para la etiqueta ISO 14443-A con Mifare:

Utilizar claves lo más independientes posibles •

entre las distintas etiquetas. (contramedida a los ataques físicos).

Crear mecanismos de autenticación fuertes, •

que no permitan recargar la etiqueta si esta no corresponde a la presentada inicialmente. Detectar etiquetas no autorizadas que puedan •

crear problemas en la base de datos o puedan servir para falsifi car productos.

Cifrar toda la información contenida en la •

etiqueta.

Evitar que la etiqueta permita más de tres •

intentos para hallar las claves A y B.

Crear una aplicación que le permita al usuario •

modifi car sus claves A y B periódicamente, o que los sistemas que usan las etiquetas lo hagan automáticamente con cierta periodicidad.

Establecer mecanismos de encripción entre •

el lector y el software intermedio (middleware) para evitar que la información que viaja a través de la red se vea comprometida, ya que en estos medios pueden haber snnifers detectando el fl ujo de tráfi co.

Bloquear los sectores de memoria de la etiqueta •

que no se utilicen y utilizar solo los necesarios.

CONCLUSIONES

Aunque por su naturaleza el sistema RFID es •

inseguro, no se puede concluir en este trabajo que esta tecnología es insegura en forma generalizada, lo que sí se puede deducir es que mediante las pruebas efectuadas sobre la etiqueta ISO 14443-A con Mifare, y el lector ID-CPR.M02 de ToP Tunniste Oy, se pudo demostrar que la tecnología presenta falencias graves, que atentan directamente contra la clonación y la integridad de los datos.

Artículos de Proyectos de Grado realizados por los estudiantes de Ingeniería de Sistemas - semestres 2008-1, 2008-2 y 2009-1

Hacen falta mecanismos de

• autenticación

y de encripción de los datos almacenados en la etiqueta ISO 14443-A con Mifare, ya que cualquier persona mal intencionada podría leerlos, decodifi carlos, modifi carlos y usarlos indebidamente, ya sea suplantando identidades, efectuando robos de dinero, estafas y falsifi caciones.

Se detectaron serias vulnerabilidades en el •

sistema RFID utilizado en las pruebas, se encontró que esta tecnología presenta falencias en los tres pilares fundamentales de la seguridad informática: la integridad, la disponibilidad y la confi abilidad.

En síntesis se identifi caron las siguientes vulne- •

rabilidades:

- Los datos están almacenados en la etiqueta sin encriptar.

- Falta implementar mecanismos robustos de autenticación.

- Las validaciones de los lectores son imprecisas e incorrectas.

- El carné donde va la etiqueta carece de funda protectora que evite lecturas por intrusos.

- No existen mecanismos tipo “fi rewall” entre lectores que eviten el problema “man in the middle”

No existe ningún tipo de medio informativo •

para los usuarios de esta tecnología. En términos simples, los usuarios no saben que en este momento pueden ser espiados. El desconocimiento de cómo funciona esta tecnología hace que los usuarios la utilicen sin las precauciones necesarias, permitiendo de esta manera que los ataques se realicen de una manera más fácil y sencilla.

Si se cumplen las regulaciones existentes •

sobre la conservación de la privacidad de los propietarios de esta tecnología, las grandes

compañías de ventas al por menor, no pueden ligar los artículos con estilos de vida del cliente. Esto puede ocasionar problemas en las campañas de fi delización de usuarios, promociones, esquema de puntos entre otras.

BIBLIOGRAFÍA

Future Technology Devices International Ltd. (2007, Enero). Future Technology Devices International Ltd. Retrieved Agosto 28, 2008, from http://www. ftdichip.com/FTDrivers.htm

Glover, B., & Bhatt, H. (2006). RFID Essentials. Sebastopol: O'Reilly Media.

Laurie, A. (2006, Junio 8). RFIDIOt. Retrieved Julio 12, 2008, from RFIDIOt: http://rfi diot.org/

Markoff, J. (17 de Marzo de 2006). The New York Times. Recuperado el 12 de Julio de 2008, de Technology:Study Says Chips in ID Tags Are Vulnerable to Viruses: http://www.nytimes. c o m / 2 0 0 6 / 0 3 /15 / t e c h n o l o g y/15 t a g . h t m l ?_ r=1&oref=slogin

Nohl, K. (2008, Febrero 26). Group Demonstrates Security Hole in World's Most Popular Smartcard. Retrieved Julio 12, 2008, from http://www.virginia. edu/uvatoday/newsRelease.php?print=1&id=4321

Organización Mundial de la Salud. (2008, Enero 25). Organización Mundial de la Salud. Retrieved Julio 29, 2008, from Organización Mundial de la Salud: http://www.who.int/peh-mf/about/ WhatisEMF/es/index3.html

REID, S. (2007, Marzo 5). Mail Online. Retrieved Julio 12, 2008, from 'Safest ever' passport is not fi t for purpose: http://www.dailymail.co.uk/news/ article-440069/Safest-passport-fi t-purpose.html

Rieback, M. R., Crispo, B., & Tanenbaum, A. S. (2006). Is Your Cat Infected with a Computer Virus? Amsterdan: Vrije Universiteit.

Rieback, M. R., Simpson, P. N., Crispo, B., & Tanenbaum, A. S. (2006, Marzo 2). Faculty of Sciences. Retrieved Julio 12, 2008, from RFID Viruses and Worms: http://www.rfi dvirus.org/

Schneier, B. (2004). RFDUMP.ORG. Retrieved jULIO 12, 2008, from RFDUMP.ORG: http://www. rfdump.org/about.shtml

Thornton, F., Haines, B., Das, A. M., Bhargava, H., Campbell, A., & Kleinschmidt, J. (2006). RFID Security. Canada: Syngress Publishing.

Wikipedia. (2008, Agosto 28). Wikipedia. Retrieved Septiembre 16, 2008, from http://es.wikipedia.org/ wiki/Mifare.

PORTAL DE INFORMACIÓN