211service.com
Seguridad límite
Para algunos viajeros estadounidenses, los cruces fronterizos pueden acelerarse con licencias de conducir mejoradas o tarjetas de pasaporte, tarjetas de plástico del tamaño de una billetera emitidas por el gobierno federal y que permiten el paso por tierra o mar a Canadá, México, Bermudas o el Caribe. Ambos tipos de tarjetas son más baratas que los pasaportes normales y contienen dispositivos de identificación por radiofrecuencia (RFID) que se pueden leer a distancia. Si un viajero sostiene una tarjeta contra el parabrisas de un automóvil, un agente de cruce de fronteras puede obtener información sobre él o ella automáticamente de una base de datos. Sin embargo, un análisis reciente realizado por investigadores de la Universidad de Washington y Laboratorios RSA , con sede en Bedford, MA, muestra que los atacantes podrían utilizar las señales RFID enviadas por las tarjetas para crear documentos falsificados o para espiar a los titulares de tarjetas.

ID dentro: La antena de la nueva tarjeta de pasaporte de los EE. UU., Que se muestra arriba, emite señales de radiofrecuencia que los funcionarios de cruce de fronteras pueden usar para obtener información sobre un viajero. Investigadores de la Universidad de Washington y RSA Laboratories han sugerido que las señales podrían leerse desde una distancia relativamente larga, lo que podría permitir la falsificación o el seguimiento de las tarjetas.
Estas tarjetas son relativamente nuevas. Forman parte del gobierno de EE. UU. Iniciativa de viajes del hemisferio occidental , que cambia las reglas para cruzar las fronteras cercanas a partir de julio de 2009. Después de esa fecha, los viajeros ya no podrán pasar simplemente mostrando una licencia de conducir y un certificado de nacimiento. En cambio, necesitarán documentos especiales aprobados. A principios de 2008, Washington se convirtió en el primer estado en ofrecer licencias de conducir mejoradas para los cruces fronterizos, y Nueva York hizo lo mismo en septiembre.
Los chips RFID contenidos en las tarjetas se denominan etiquetas de código de producto electrónico (EPC) y son similares a los códigos de barras. Cuando se escanean, devuelven un número único vinculado a una base de datos mantenida por el gobierno federal, donde se almacena información como fotografías de los titulares de la tarjeta. Ari Juels , director y científico jefe de RSA Laboratories, que participó en el análisis reciente, explica que, si bien se sabía que las etiquetas EPC se podían copiar, varias características de las nuevas tarjetas de identificación aumentan el riesgo de que puedan ser falsificadas, rastreadas o , en el caso de las tarjetas Washington, desactivadas por un atacante malintencionado.
El tipo de chip que se usa en las tarjetas se puede reprogramar usando equipo estándar, explica Juels; un atacante con un número de identificación robado puede cargarlo en un chip en blanco con bastante facilidad. Pero si cada chip también tuviera un número de serie único programado en la fábrica, sería más difícil de duplicar. El falsificador tendría que alterar el número de serie en el chip en blanco, una propuesta mucho más difícil.
Otro problema con las tarjetas, dice Juels, es que se pueden leer a una distancia relativamente larga. Un atacante podría obtener el número contenido en una tarjeta escuchando a escondidas en un punto de control o leyendo la tarjeta mientras la lleva en el bolsillo o bolso de la víctima.
Las tarjetas se emiten con una funda protectora destinada a bloquear el acceso no autorizado, pero los investigadores encontraron que las tarjetas de Washington aún se podían leer a través de la funda. Además, las etiquetas EPC se pueden desactivar enviándoles un comando de interrupción. Si bien las tarjetas de pasaporte estaban protegidas de este ataque, dicen los investigadores, la posibilidad quedó abierta en las tarjetas de Washington. Esto podría permitir a un atacante interrumpir los cruces fronterizos matando un gran número de tarjetas, o acosar a personas en particular, ya que es probable que una tarjeta eliminada genere sospechas.
Gigi Zenk, portavoz del Departamento de Licencias del Estado de Washington , dice que duda de la gravedad de los hallazgos porque los investigadores hicieron muchas suposiciones sobre cómo funcionan las aduanas y el control de fronteras. Si bien dice que ningún sistema es completamente invulnerable, enfatiza que las tarjetas no contienen información personal y que el estado de Washington ha convertido en un delito intentar robar información de ellas. Creemos que tomamos medidas considerables para mitigar el riesgo, dice Zenk, y me preocupa que esto cause un miedo innecesario.
Juels está de acuerdo en que si los agentes fronterizos hacen todo lo que se supone que deben hacer, incluida, por ejemplo, comparar las fotografías almacenadas en la base de datos con las impresas en la identificación, deberían poder detectar falsificaciones. Pero agrega que los agentes pueden verse tentados a confiar en la tecnología y relajar su vigilancia.
Incluso si los agentes fronterizos se muestran atentos, sostienen los investigadores, las tarjetas aún podrían presentar riesgos. Estas tarjetas aún pueden revelar información sobre nuestras vidas, dice Tadayoshi Kohno , profesor asistente de ciencias de la computación en la Universidad de Washington, quien trabajó en la investigación. Si piensa en el número de seguro social, en algún momento podría haber habido un argumento de que es solo un número, no información personal. Pero los números evolucionan con el tiempo y los usos evolucionan con el tiempo, y eventualmente estas cosas pueden revelar más información de la que inicialmente esperamos.
Jonathan Westhues , un investigador de seguridad independiente que ha estudiado RFID, señala que mucho depende de cómo se utilice realmente la etiqueta. Si algún funcionario supone que la etiqueta en sí misma es prueba suficiente de identidad, entonces la amenaza de clonación es seria. Señala que es difícil decir qué planean hacer exactamente con la etiqueta, por lo que es difícil decir si el sistema en general será seguro. En cuanto a la privacidad, agrega que muchas personas ya llevan tarjetas inteligentes o teléfonos celulares que podrían usarse para rastrearlos.
Los investigadores dicen que esperan ver una mejora en la tecnología de pasaportes como resultado de las preguntas que han planteado. Toda la infraestructura RFID no es una mala idea, dice Juels. Solo hay que hacerlo bien.