Demanda de pasaporte electrónico muestra debilidades en nuevos controles de borde

De acuerdo con los investigadores de seguridad, los datos de los microprocesadores de radio en los llamados pasaportes electrónicos se pueden clonar y modificar sin detección, lo que representa un enorme agujero de seguridad en los sistemas de control fronterizo de próxima generación.

de 50 países están lanzando pasaportes con chips integrados de identificación por radiofrecuencia (RFID) que contienen datos biométricos y personales. La medida pretende reducir los pasaportes fraudulentos y fortalecer los controles fronterizos, pero los expertos en seguridad dicen que los sistemas tienen varias debilidades.

El investigador holandés Jeroen van Beek publicó un conjunto de herramientas de software que puede codificar chips RFID con información falsa. En un video de demostración, van Beek muestra cómo un escáner en el aeropuerto de Amsterdam lee un chip de pasaporte que codificó con la información y la fotografía de Elvis Presley.

Significa que un estafador podría crear un pasaporte falso con un chip RFID que pareciera legítimo. La razón por la cual los datos parecen legítimos se debe a un problema fundamental en cómo los gobiernos están configurando sistemas para manejar pasaportes electrónicos, dijo Adam Laurie, un investigador de seguridad independiente que trabajó con van Beek en la demostración.

Datos del pasaporte en chips RFID está firmado con un certificado digital que pertenece al país al que se emitió el pasaporte. Se supone que los sistemas de pasaportes electrónicos verifican ese certificado al escanear un pasaporte, dijo Laurie.

Se supone que todos los países que emiten pasaportes electrónicos cargan su certificado digital al Directorio de claves públicas (PKD), una base de datos que debe consultarse. aseguran que el certificado es correcto, dijo Laurie.

Pero solo 10 de los 50 países aceptaron subir esos certificados al PKD, dijo Laurie. Solo cinco países están contribuyendo a la base de datos, dijo.

"Básicamente, todo se cae", dijo Laurie. La seguridad del sistema de pasaportes electrónicos está enraizada en las comprobaciones de la base de datos de esos certificados, dijo.

En la demostración de van Beek, el chip del pasaporte que contiene datos fraudulentos presenta su propio certificado que parece ser de una autoridad legítima pero no 't. Dado que los Países Bajos no usan PKD para verificar los certificados de pasaporte, el certificado es aceptado, dijo Laurie.