En la actualidad los dispositivos o etiquetas RFID (siglas que vienen de radio frequency identification devices), una tecnología que permite identificar de forma automática un objeto gracias a una onda que transmite los datos identificativos del objeto por radiofrecuencia, son cada vez más utilizados en objetos de uso cotidiano, como las etiquetas adhesivas con la información básica en los productos del supermercado o de una tienda de ropa. Pero no sólo ahí queda su utilidad. Todo hace suponer que las tarjetas RFID se acabarán imponiendo en en tarjetas de transporte; en pasaportes; sistemas para la identificación de mascotas; como sistema de control de mercancías; controles de acceso a eventos deportivos o a zonas residenciales; así como en ámbitos como el sanitario, para el seguimiento de pacientes o el control de medicamentos y muestras.
El Instituto Nacional de Tecnologías de la Comunicación (INTECO), y la Agencia Española de Protección de Datos (AEPD), acaban de hacer pública una guía sobre seguridad y privacidad de la tecnología RFID. Actualmente, la implantación de la tecnología RFID en España se produce en mayor medida en las grandes empresas. Así, mientras el nivel de adopción de esta tecnología por parte de las microempresas es del 0,8%, y entre las pymes el porcentaje se eleva a 3,1%, en el caso de las entidades de 10 a 49 empleados, y al 8,9% si el rango va de 50 a 249 trabajadores, en grandes empresas (más de 249 trabajadores) el porcentaje es del 20,1%.
Según se señala en el estudio elaborado por INTECO y la AEPD, por sectores, las empresas con actividades de transporte y almacenamiento son las que más utilizan la tecnología RFID. Le siguen el sector financiero, la informática, telecomunicaciones y audiovisuales y el comercio mayorista y minorista. En cuanto a las aplicaciones mayoritarias de la tecnología RFID, se centran (en el caso de las pymes y grandes empresas españolas) en el seguimiento y control de la cadena de suministro y de inventarios, y la identificación de personas y control de accesos. En el caso de las microempresas, con los sistemas de pago y la identificación de productos.
Riesgos
En la guía se hace hincapié en que, si bien esta tecnología ofrece grandes oportunidades y facilidades, también puede plantear serios riesgos, dado que pueden llegar a informar de la localización, identidad e historial de un individuo. En el ámbito personal el principal ataque que puede sufrir la privacidad del usuario es el intento de lectura de la información personal y privada almacenada en un dispositivo RFID bajo su posesión. La guía ilustra la problemática que puede plantearse en el caso de una persona que porte una prenda de un comercio que no haya inutilizado las etiquetas o pegatinas RFID, ya que éstas podrían ofrecer información capaz de elaborar un perfil con los gustos o aficiones de esa persona a partir de sus compras.
En cuanto a los riesgos para la seguridad, la guía destaca que puede haber ataques a los sistemas RFID para acceder a información personal de los usuarios. Se trata de riesgos derivados de acciones encaminadas a deteriorar o aprovecharse del servicio de forma maliciosa y donde se persigue el beneficio económico o un deterioro del servicio prestado. La forma más simple de ataque es evitar la comunicación entre la etiqueta y el lector, pero existen otras, como el aislamiento de etiquetas, la suplantación (consiste en el envío de información falsa que parece ser válida), o la clonación de la tarjeta RFID (a partir de la comunicación entre una etiqueta y el lector, se copian los datos y se replican en otra etiqueta RFID).
Recomendaciones
Frente a los riesgos descritos, la guía incluye varios apartados específicos con recomendaciones y buenas prácticas dirigidas tanto a usuarios como a proveedores. Entre estas recomendaciones recogidas en el informe cabe destacar: la inutilización, desactivación o destrucción de las etiquetas una vez se haya cumplido su misión; notificar el uso de RFID; no almacenar en los tags RFID información personal; dar a conocer a los usuarios cuándo, dónde y por qué se va a leer una etiqueta; utilizar etiquetas watchdog: (en inglés “perro guardián”), que informan de intentos de lectura y escritura que se hagan en su área de actuación; ofrecer al usuario facilidades para la retirada, destrucción o desactivación de los dispositivos asociados a productos cuando va a abandonar las instalaciones; hacer cifrado, lo que impidiendo que las partes no autorizadas puedan entender la información enviada utilizando técnicas de cifrado de la información; o la autenticación, evitando así la falsificación de lectores o etiquetas, debiendo introducirse una clave secreta para validar la comunicación lector-etiqueta.
