California convierte en delito 'robar' etiquetas RFID

Esta semana, California se convirtió en el segundo estado en aprobar una ley que ilegaliza el robo de datos de tarjetas RFID (identificación de frecuencia de radio).

La ley establece una multa que incluye una multa máxima de $ 1,500 y hasta un año en prisión para alguien condenado por leer subrepticiamente información de una tarjeta RFID.

Los chips RFID, utilizados en una creciente variedad de aplicaciones en todo el mundo, almacenan pequeñas cantidades de información que un dispositivo cercano puede leer. Entre otras cosas, los chips se pueden usar para almacenar datos de clientes en una tarjeta de crédito o para permitir que personas autorizadas abran puertas cerradas de oficinas o puertas de automóviles en sistemas de entrada "sin llave".

El proyecto de ley de California establece excepciones para ciertas situaciones de emergencia como permitir que un trabajador de atención médica escanee la tarjeta de salud habilitada con RFID de alguien para ayudar a la persona. Además, los agentes de policía podrían ver información en una tarjeta RFID con una orden.

El proyecto de ley fue presentado por primera vez por el Senador Estatal de California Joe Simitian en 2006, y la versión final se convirtió en ley el miércoles. Fue respaldado por una amplia variedad de grupos que van desde la Unión de Libertades Civiles de Estados Unidos hasta los Propietarios de armas de California.

A principios de este año, Washington se convirtió en el primer estado en aprobar una ley contra el robo de datos de RFID. Washington establece que es un delito mayor clase C robar datos de una tarjeta RFID específicamente con el propósito de fraude, robo de identidad u otros fines ilegales. Eso significa que si es declarado culpable, un criminal podría recibir una multa de hasta $ 10,000 y cinco años de prisión.

Aunque existen mecanismos de seguridad que los emisores de tarjetas RFID pueden emplear para dificultar el robo de datos. almacenados en ellos, muchos no lo hacen o lo hacen mal, por lo que estas leyes podrían servir como un elemento de disuasión contra los posibles hackers.

Un documento publicado recientemente por Stanford Law Review detalla algunos ejemplos alarmantes de investigadores de seguridad pirateando RFID sistemas. En un caso, los investigadores de la Universidad Johns Hopkins descifraron el código de encriptación de los chips de Texas Instruments utilizados en las tarjetas de gasolina Exxon Mobil. Armados con ese código, una computadora portátil y un dispositivo RFID simple, pudieron llenar sus tanques con gasolina gratis.

El documento de Stanford también cita el trabajo realizado por investigadores de seguridad informática en IO Active que muestra con qué facilidad podían clonar información almacenado en la construcción de tarjetas de entrada. En otro ejemplo descrito en el documento, los investigadores de la Universidad de Massachusetts gastaron $ 150 para construir un lector RFID y descubrieron que podían leer información como nombres y otros datos almacenados en tarjetas de crédito habilitadas con RFID. Descubrieron que los datos se almacenaban en las tarjetas utilizadas comercialmente sin encriptar y en texto plano.

El gobernador de California vetó esta semana otro proyecto de ley relacionado también presentado por Simitian. Ese proyecto de ley habría requerido que las escuelas obtuvieran el consentimiento por escrito de los padres antes de emitir tarjetas RFID a los estudiantes que podrían usarse para registrar la asistencia o rastrear el paradero de los estudiantes. El proyecto de ley, redactado después de la controversia estalló en una escuela de California que emitió tarjetas RFID a los estudiantes, también habría requerido que las escuelas tomen ciertas medidas para proteger la privacidad de los estudiantes.