El desconocimiento de “LA SEGURIDAD” en las etiquetas RFID
Es cierto que hoy en día, para la implantación de soluciones RFID, siguen surgiendo dudas por el desconocimiento que hay acerca del funcionamiento de estos sistemas y de sus parámetros de seguridad.
La automatización de procesos a través de sistemas RFID es una realidad que muchas empresas han adoptado o están en pleno proceso de adopción de cara a la obtención de mejoras significativas en la gestión de sus procesos y en su eficiencia.
¿Qué tipos de ataques existen?
Aunque existen diversas formas de ataques a los sistemas RFID, como con otros relacionados con el mundo de las tecnologías de la información y las comunicaciones, para todos ellos puede haber soluciones interesantes de cara a la seguridad.
Veamos ejemplos de ataques:
- Suplantación: Este ataque consiste en el envío de información falsa que pueda parecerle válida al receptor.
- Inserción: Este ataque consiste en la inserción de comandos ejecutables en la memoria de datos de una etiqueta donde habitualmente se esperan datos.
- Repetición: Consiste en enviar al lector RFID una señal que reproduce la de una etiqueta válida. Esta señal se habrá capturado mediante escucha a la original. El receptor aceptará como válidos los datos enviados.
- Clonación de la tarjeta RFID: A partir de la comunicación entre una etiqueta y el lector, se copian dichos datos y se replican en otra etiqueta RFID para ser utilizados posteriormente.
- Riesgo de ataque mediante inyección de lenguaje de consultas SQL: Por medio de la comunicación entre la etiqueta y el lector, se pasa lenguaje SQL hacia el soporte físico que lee la etiqueta, el cual, a partir de tal ataque, ejecuta las órdenes incluidas en la etiqueta hasta llegar a su introducción en una base de datos.
- Código malicioso (malware): Otro posible riesgo de ataque a la tecnología RFID consiste en la transmisión de códigos maliciosos incluidos dentro de etiquetas RFID.
- Spoofing: Caso particular para etiquetas activas (de lectura y escritura). En este caso se escriben datos reales en una etiqueta RFID para suplantar la información original.
- Ataques Man in the Middle (MIM): Vulnera la confianza mutua en los procesos de comunicación y reemplaza una de las entidades, ya que la tecnología RFID se basa en la interoperabilidad entre lectores y etiquetas.
En Amipem no solo somos expertos en la consultoría e instalación de soluciones RFID sino también en Sistemas de Seguridad para el correcto funcionamiento de la misma.
Frente a los tipos de ataques mencionados antes, es posible proteger un sistema RFID a partir de soluciones y herramientas, como pueden ser por ejemplo:
- TID: Identificador de la etiqueta (Transponder ID)
Cada etiqueta RFID tiene un TID único. El TID no es grabable después de la fabricación del chip. Es un código de identificación de individual y único.
- Interruptores
Los interruptores requieren que alguien pulse un botón o un switch, para accionar la etiqueta. Esto significa que la etiqueta no se puede leer hasta que alguien responsable de esta haya acreditado su lectura.
- Autenticación mutua
En este proceso, el dispositivo lector enviará una ruta de código a la etiqueta y ésta la descifrará utilizando una clave conocida por ambas entidades. Si la operación tiene éxito, la etiqueta puede remitir una línea de código para que sea descifrada por el lector.
- Contraseña de bloqueo
Una contraseña de bloqueo es una clave de 32-bit que debe ser enviada para que la etiqueta trasmita los datos. Es prácticamente imposible acceder a los datos ya que no pueden descifrar la contraseña (un clave de 32-bit tiene 4.294.967.296 combinaciones posibles). Esto es una forma simple y común de proteger los sistemas UHF pasivos.
- Control de acceso básico
El lector debe proveer una clave específica para que la etiqueta revele cualquier información personal.
- Código encubierto
El lector solicita un número al azar de la etiqueta y esta responde (silenciosamente) con este número. El lector entonces codifica futuras comunicaciones usando este número, haciéndolas así difíciles de descifrar por un tercero.
- Encriptación unilateral
Esta es una opción más simple en la que solo el lector toma parte en la encriptación de la etiqueta. La información transmitida a la etiqueta ya ha sido encriptada, de modo que cuando ésta sea recibida posteriormente por el lector, será éste quien la descifre.
Enlaces a las novedades de AMIPEM
Invitamos a visitar la nueva página de AMIPEM en www.amipem.net y unirse a nuestra red de contactos en la página de Linkedin AMIPEM CONSULTORES S.L
De igual forma, visiten la página de nuestro proyecto estrella DYN LABEL en www.dynlabel.com y seguir su cuenta en Linkedin DYN LABEL.