Investigadores encuentran problemas con tarjetas de pasaporte RFID

Las etiquetas RFID utilizadas en dos nuevos tipos de documentos de cruce fronterizo en los EE. UU. son vulnerables a fisgoneo y copiado, dijo un investigador el jueves.

Tarjetas de pasaporte de Estados Unidos emitidas por el Departamento de Estado y EDL de EE. UU. las licencias de conducir mejoradas) del estado de Washington contienen etiquetas RFID (identificación por radiofrecuencia) que pueden escanearse en los cruces fronterizos sin ser entregadas a los agentes. Ambos fueron introducidos a principios de este año para cruces fronterizos solo por tierra y agua, y no pueden ser utilizados para viajes aéreos. Nueva York es el único otro estado de los EE. UU. Con EDL, aunque otros están en proceso.

La información en estas etiquetas podría copiarse en otra etiqueta comercial, que podría utilizarse para hacerse pasar por el titular legítimo. de la tarjeta si un agente del Departamento de Seguridad Nacional de los EE. UU. en la frontera no vio la tarjeta en sí, dijeron los investigadores. Otro peligro es que las etiquetas se pueden leer desde una distancia de 150 pies en algunas situaciones, por lo que los delincuentes podrían leerlas sin ser detectadas. Aunque las etiquetas no contienen información personal, podrían usarse para rastrear los movimientos de una persona a través de una vigilancia continua, dijeron.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Otro peligro es que los hackers podría causar que las EDL se autodestruyan enviando un cierto número, dijeron.

"Sería relativamente fácil para alguien leer su tarjeta de pasaporte o EDL", dijo Tadayoshi Kohno, profesor asistente de informática e ingeniería en la Universidad de Washington.

Aunque no hay motivo para el pánico, "nuestros corazones deberían comenzar a latir un poco más rápido", dijo Kohno. El riesgo para los pasajeros individuales es bajo, pero los problemas crean fallas sistémicas en el sistema de cruce fronterizo, según un resumen del informe.

Las empresas minoristas, navieras y otras utilizan cada vez más etiquetas RFID como códigos de barras inalámbricos que pueden contener más información que los impresos tradicionales. El crecimiento de la tecnología hace que las herramientas de piratería de RFID estén más fácilmente disponibles, dijo Kohno.

En un ataque de clonación, un pirata informático podía leer la información de la etiqueta RFID de una tarjeta, mientras el titular de la tarjeta estaba pasando o como el funcionario lector de tarjetas estaba recogiendo los datos. El atacante podría codificar una etiqueta RFID genérica con los mismos datos, dijo Kohno. Con esa nueva etiqueta codificada, alguien podría deslizarse a través del borde apareciendo al lector de RFID para tener una tarjeta de identificación legítima, siempre y cuando nadie le pida que mire la tarjeta real.

Por sí mismos, las vulnerabilidades de RFID no significa que alguien se saldrá con la clonación u otros ataques, señaló Kohno.

"En realidad, el sistema involucrado en los cruces fronterizos es mucho mayor que solo el aspecto técnico", dijo Kohno. Por ejemplo, es probable que las autoridades entrevisten a conductores y pasajeros que cruzan la frontera y miren sus tarjetas de identificación, dijo. También pueden usar otras medidas contra la clonación de tarjetas cerca de los cruces de fronteras.

Sin embargo, Kohno y otros tres investigadores creen que hay mecanismos disponibles para las etiquetas RFID que los gobiernos de EE. UU. Y Washington no están usando.

Por ejemplo, cada etiqueta tiene dos números especializados: un PIN de acceso (número de identificación personal) y un PIN de eliminación. (Estos son más grandes que los PIN de la tarjeta bancaria y no son elegidos por los titulares de la tarjeta.) El PIN de acceso se puede usar para verificar que una etiqueta sea legítima y el PIN de cancelación se puede usar para hacer que la etiqueta sea ilegible.

Los PIN se usan tanto en las tarjetas de pasaporte como en las EDL, pero existen medidas de seguridad adicionales que los investigadores no creen que las autoridades estén usando. Por ejemplo, podrían probar el PIN de acceso usando información de una base de datos, dijo Kohno. Además, el PIN de matar no está configurado en las EDL de Washington, lo que podría hacerlas vulnerables a un ataque que haría ilegibles todas esas tarjetas en un sitio determinado, dijo. Tal ataque podría causar molestias o socavar la confianza de los viajeros, decía el resumen.

Los investigadores han dado recomendaciones a las autoridades de Estados Unidos y Washington, dijo Kohno.

Los pasaportes estadounidenses de tamaño completo, que son folletos en lugar de tarjetas, no se ven afectados por estas vulnerabilidades porque sus etiquetas RFID tienen protecciones criptográficas y los folletos son metálicos. Coberturas que protegen contra el espionaje, dijeron los investigadores.

Para la autoprotección, los investigadores sugieren que los consumidores usen las mangas protectoras que vienen con ambas tarjetas, lo que puede ayudar a prevenir el escaneo clandestino. En su lugar, los viajeros también pueden usar los pasaportes más seguros de los EE. UU. De tamaño grande.