Tarjetas RFID y la identidad de su propietario

En el post anterior, me centré mucho en la identidad digital de las personas de a pie, en esta ocasión voy a hablar sobre la identidad corporativa de una empresa. El robo de identidad no solo puede afectar a personas, también a empresas, los datos corporativos de las empresas, en ocasiones expuestos al público, esto puede ser aprovechado por personas con malas intenciones para robar información de la empresa y venderla a un tercero.

Aunque en este artículo he pensado en centrarme más en un tipo de sistemas de control que se utiliza para la identificación de empleados dentro de las empresas, la tecnología basada en tarjetas RFID. Se trata de un sistema que almacena y recupera datos de forma remota, se utiliza como método de identificación por radiofrecuencia. Sontarjeta-proximidad-rfid dispositivos muy pequeños, similares a una pegatina, contiene antenas para poder recibir y responder a peticiones por radio frecuencia desde un emisor-receptor RFID. Entre sus ventajas se encuentran que no necesita alimentación eléctrica y al usar la radiofrecuencia no requiere visión directa entre el emisor y el receptor, los datos de identificación se encuentran en la tarjeta y genera una señal con esos datos, esta señal es captada por un lector RFID que lee la señal, la pasa a formato digital para que sea legible y se le da acceso si la información es válida.

Estar preparado ante este tipo de suplantaciones, vuelve a ser la mejor forma de combatir el robo de identidad corporativa, de una forma general, se pueden hacer algunas recomendaciones como comprobar siempre la identidad de los clientes, evitar que los detalles de las cuentas bancarias sean de dominio público, tener una buena política de seguridad, etc., pero el caso que nos ocupa es muy concreto, las tarjetas RFID. Lo primero que me pregunto es si esta tarjeta la puede usar solo el propietario real y, por otro lado, también me pregunto si se puede interceptar una señal RFID.
Estos sistemas son muy populares en muchas empresas e instituciones públicas. Aquel quien posea una de estas tarjetas tendrá acceso y solo lo tendrá esta persona, esto responde mi primera pregunta, aquel que sea su poseedor es quien tiene capacidad de usarla aunque no su dueño legítimo, esto es un grave problema pues cualquiera con acceso a esta tarjeta (un ladrón, alguien que ha clonado una tarjeta, alguien a quien se le ha prestado la tarjeta, su dueño real con malas intenciones) podría tener la capacidad de acceder a los privilegios que esta ofrece desde abrir el baño solo para empleados, hasta los secretos más oscuros y mejor guardados de la compañía. En respuesta a la segunda pregunta existen dos «tipos» de tarjetas RFID, si responde a todas las peticiones sin excepción, se trata de un dispositivo promiscuo, en cambio sí requiere autentificación es segura y esto requiere de aspectos típicos de gestión de claves criptográficas y de acceso, por lo tanto, en esta parte está bien cubierto.

Cualquiera caso suplantacion-identidadde suplantación de una identidad corporativa puede ser desastroso para una empresa, tradicionalmente partiendo de la creencia de que si se tiene esta tarjeta se está autorizado, no se hacen más controles tras usarla, lo que significa que si una persona que no es quien debería tener esa tarjeta da uso de ella la empresa podría verse gravemente afectada. Una persona no autorizada con esta capacidad podría robar información vital para la empresa como sus estudios de mercado, datos de los clientes, planes, números de cuenta incluso podría conseguir robar la identidad de algún alto cargo y suplantar su identidad, como por ejemplo, el caso del robo de identidad de un empresario de Jalisciense, con sus datos entraron en las cuentas de la empresa y adquirieron una gran cantidad de artículos, entre ellos un Ferrari y cuando se dieron cuenta ya les había llegado demanda mercantil millonaria.

Para evitar una posible suplantación de identidad corporativa, dos estudiantes de la Universidad Tecnológica de Wroclaw (Polonia), Wojciech Wodo y Sebastian Zientek, han publicado un métodosoftware_reconocimiento_facial que relaciona la identidad digital del usuario con la tarjeta RFID de forma que solo aquel a quien pertenezca realmente pueda usarla. El método consiste en mejorar el nivel de seguridad mediante la prevención, aceptando un mayor valor para la tasa de falsas aceptaciones consiguiendo una menor tasa de falso rechazo. El objetivo es disminuir significativamente el intento de robar, pedir prestado o clonar una tarjeta de acceso, su solución verifica la relación biométrica entre la imagen facial del titular del documento embebido en un documento de identidad personal y la imagen facial capturada por una cámara de aquel que usa la tarjeta. Con el fin de evitar cualquier intento de sustitución facial en tiempo real, introducen una capara de profundidad y flash infrarrojo. Su objetivo es comparar la similitud de las caras de un soporte de documentos y el usuario y al mismo tiempo para evitar el mal uso de estos datos digitales de alta calidad.

Gracias a este sistema, a través de un algoritmo de la librería OpenCV se puede detectar la cara de la persona que va a utilizar la tarjeta RFID a través de una cámara, de esta forma la información que se recibe es comparada con la identidad digital de ese empleado, el 99% de los casos que han probado han identificado la cara con la muestra de los datos digitales de ese empleado. De esta forma es mucho más complicado que un impostor se haga pasar por un empleado y acceda a los datos confidenciales de una empresa. Existe la posibilidad de que un usuario malintencionado podría ser capaz de usar una fotografía del empleado sobre la cámara, de forma que el análisis del rostro daría confirmación a su identidad al compararla con la de su perfil. Con el fin de evitar este tipo de ataques, el método utiliza una capara de profundidad que proporciona datos sobre la profundidad de la imagen en una matriz de 320×240 píxeles. Estos datos se utilizan para determinar su un humano es real o un simple objeto delante de la capara, además se utilizan estos datos para mejorar el rendimiento del algoritmo de detección facial.

En resumen, los empleados de una empresa tienen acceso a datos confidenciales de las empresas o la capacidad de actuar en nombre de la misma, perder el control de la identidad digital de los empleados se resumen en la posible pérdida del control de la identidad digital corporativa de la empresa, una persona mal intencionada podría robar datos confidenciales, robar datos sobre los clientes, vender información a la competencia o destruirla por completo. La tecnología avanza a pasos agigantados y las empresas han de adaptarse a ellas para seguir con sus procesos, esto implica también afrontar nuevas amenazas como los robos digitales y estar preparado para ello es la mejor forma de protegerse. Las tarjetas RFID son un muy buen método de identificación digital, pero tiene sus fallos, en caso de uso indebido de tarjetas de identidad personal por haber sido prestada, clonada o robada podría verse en las mismas situaciones fatales antes descritas, pero gracias a la propuesta de estos dos estudiantes, se puede relacionar de una forma mucho más efectiva al poseedor de estas tarjetas y su identidad digital. El peligro se ve reducido, pero no se ha eliminado el riesgo de perder el control. Es buen sabido que la mayoría de ataques digitales a una empresa son realizados por gente que se encuentra dentro de la propia plantilla, pero ya es suficiente por esta vez, abordaremos esta posibilidad en el próximo post, comentando también noticias sobre casos que ya han sucedido y como las empresas pueden afrontarlos.

Referencias:

http://www.tarjetashid-mifare-rfid.com/que-es-tarjeta-proximidad-rfid.html

Wodo, W. and Zientek, S. (2015). Biometric linkage between identity document card and its holder based on real-time facial recognition. 1st ed. [ebook] Londres: Science and Information Conference, pp.1380-1364. Available at: http://ieeexplore.ieee.org/document/7237322/ [Accessed 25 Oct. 2016].

http://www.muypymes.com/2009/10/05/como-evitar-el-robo-de-tu-identidad-corporativa

http://www.unionjalisco.mx/articulo/2013/11/04/gobierno/guadalajara/roban-identidad-de-empresario-jalisciense-y-compran-ferrari