A partir del verano pasado, los estadounidenses necesitarán pasaportes para viajar a Canadá, Méjico, Bermuda y el Caribe a menos que tengan la tarjeta pasaporte o las licencias para conducir mejoradas que comenzaron a emitir los estados de Washington y Nueva York.

Válidas sólo para viajes por tierra y mar, estas formas de identificación nuevas son una opción conveniente y barata para personas que no necesitan viajar por avión. Las tarjetas pasaporte estadounidenses se presentaron en Julio, cuestan alrededor de la mitad de un pasaporte íntegro, y el coste extra de conseguir la licencia de conducir mejorada en vez de la regular es todavía menor. Las licencias mejoradas se lanzaron en Washington en enero y en Nueva York en septiembre de 2008. Otros estados fronterizos como Michigan, Vermont y Arizona, también las van a ofrecer.

Pero no todo el mundo está convencido de que los documentos nuevos sean una buena idea. La tarjeta pasaporte y la licencia mejorada contienen etiquetas de identificación por radiofrecuencia (RFID), que es un microchip con antenas incorporadas. Un lector RFID puede enviar un radiomensaje a la etiqueta y ésta le enviará los datos que contiene. En este caso, un número de identificación que permite a los agentes de aduana obtener información del portador de la tarjeta de una base de datos gubernamental. La idea es que tener acceso instantáneo a datos biográficos, a una foto, y a los resultados de cotejos de antecedentes criminales o terroristas, ayudará a los agentes a tratar con las personas que cruzan la frontera de un modo más eficaz. La tecnología RFID, sin embargo, ha generado preocupación respecto a la privacidad desde que fue puesta en las etiquetas de los productos a principios del siglo XXI.

Mientras tanto, aunque algunos expertos dicen que algunas de las tecnologías de la RFID son muy seguras, un análisis de los investigadores de seguridad de la Universidad de Virginia sobre la NXP Mifare Classic (ver Hack, noviembre/diciembre 2008), un chip RFID que se utiliza en la tarjeta-tarifa para los sistemas de transporte público de Boston, Londres y otras ciudades, mostró que no puede darse por sentado la seguridad de las tarjetas inteligentes. “Yo creo que estamos en la fase de la crisis del crecimiento. Esto pasa con muchas tecnologías cuando se desarrollan por primera vez”, dice Avi Rubin, un investigador de seguridad y privacidad, y profesor de ciencias de la computación en la Universidad Johns Hopkins.

Seguridad Fronteriza

Las primeras tarjetas de identificación que se presentaron, las tarjetas pasaporte nacional y la licencia de conducir de Washington, tienen tecnología similar que fue revisada y aprobada por el Departamento de Seguridad Interna de los Estados Unidos. Los dispositivos RFID de la tarjeta, llamadas etiquetas de código de producto electrónico (EPC), son parecidos al código de barras. Las etiquetas son baratas y, en condiciones ideales, se pueden leer a 150 pies de distancia. Una distancia muy larga para un RFID, según Ari Juels, director y científico jefe de los RSA Laboratorios en Bedford, MA, que colaboró con los investigadores de la Universidad de Washington para evaluar ambas tarjetas.

Aunque las tarjetas no almacenan información personal. Los investigadores concluyeron que el sólo hecho de almacenar un único número ya despierta preocupación por la privacidad. “Si piensas en el número de la Seguridad Social, en algún punto podría sostenerse que es sólo un número, no es información personal”, dice Tadayoshi Kohno, un profesor adjunto de ciencias de la computación en la Universidad de Washington, que participó del estudio. “Pero los números evolucionan a través del tiempo, y los usos evolucionan a través del tiempo, y eventualmente, estas cosas pueden revelar más información de la que esperábamos en un principio. “Además, los lectores RFID relativamente comunes, como los que se usan para controles de inventario, podrían bajo determinadas circunstancias leer los números desde bastante distancia. Los investigadores sintieron que existe el riesgo de que las tarjetas se usen para rastrear a las personas, del modo en que algunos centros comerciales de Gran Bretaña usaron señales de teléfonos móviles para determinar los hábitos de compra de los clientes y monitorizar cuánto tiempo se quedaban en las tiendas. Aunque algunas personas llevan otras tarjetas y dispositivos que también pueden usarse para rastrear, los investigadores hicieron notar que las tarjetas de identificación pueden leerse a mayor distancia que las etiquetas RFID restantes y que es posible que las personas las lleven encima todo el tiempo, mientras que podrían dejar, digamos, sus móviles en casa. Y los pasaportes estadounidenses regulares que también contienen chips RFID, tienen una tecnología que hace que los problemas de privacidad sean menos factibles. Los pasaportes, a diferencia de las tarjetas pasaporte, deben leerse de cerca y tienen un sistema de seguridad que exige que un funcionario escanee los caracteres del documento de forma óptica a fin de tener acceso a los datos personales alojados en el chip.

Gigi Zenck, portavoz del Washington State Department of Licensing, dice que Washington ha hecho que sea ilegal que terceros utilicen los datos de las etiquetas RFID sin el consentimiento del dueño de la etiqueta. Ella y otros funcionarios agregan que quien esté preocupado por la privacidad puede usar las fundas protectoras  diseñadas para bloquear las señales de radio que se entregan con las tarjetas, y esto hará más difícil leer las tarjetas disimuladamente. Pero el estudio de Washington demostró que las fundas no funcionan siempre; no bloquearon las señales de radio cuando estaban arrugadas, por ejemplo. Los investigadores sostuvieron que, de todos modos, es poco probable que la mayoría de las personas utilicen la funda. Incluso Juels, unos investigadores de privacidad que fueron consultados, confesaron que las perdieron, agrega Zenck.

Y la privacidad no es el único tema presente: los investigadores dicen que las lecturas no autorizadas también amenazarían la seguridad en las fronteras. Si es fácil obtener el número de identificación de las tarjetas, entonces será relativamente fácil falsificarlas, simplemente cargándole el número robado a un chip en blanco comprado en una tienda. Si cada chip RFID también tuviera un número serial único y cableado que correspondiera al número de identificación almacenado, sería más difícil de falsificar. Pero ni las licencias de Washington, ni las tarjetas pasaporte tienen esa característica extra de seguridad.

Las tarjetas de Washington están expuestas a un tipo de ataque adicional: las etiquetas EPC se pueden inutilizar cuando el lector emite la orden de “kill” (matar). Aunque cada etiqueta está diseñada para estar protegida por un PIN que sólo le permite a los usuarios autorizados dar esa orden, el estado nunca fijó el PIN en las tarjetas que distribuyó, permitiendo que cualquiera que tenga un lector RFID los fije y empiece a matar tarjetas. Si se juntara a un buen número de residentes de Washington con licencias mejoradas en un cruce de fronteras, alguien podría causar un trastorno al matar una gran cantidad de tarjetas. Un atacante también podría utilizar esta táctica para acosar a individuos particulares, ya que es muy posible que una tarjeta muerta levante sospechas.

Juels hace notar rápidamente que las tarjetas no van a ser lo único que proteja las fronteras. “Si los funcionarios de las fronteras hacen todo lo que deben hacer (incluso, por ejemplo, comparar las fotos de la base de datos con la que está impresa en la identificación), podrían detectar una falsificación”, dice Juels. Y agrega, sin embargo, que es parte de la naturaleza humana vigilar menos cuando se puede depender de la tecnología.

Cuando le pregunté al Departamento de Seguridad Interna de los Estados Unidos por estos asuntos, la secretaria de prensa Laura Keehner respondió con una declaración que en parte decía “mientras los riesgos descritos en el artículo de la Universidad de Washington /RSA pueden ser técnicamente posibles, creemos que muchos son poco probables, y que aunque se produjeran, tendrían poco impacto aparte de causarle una molestia menor en la frontera a un viajero...A medida que identifiquemos estrategias mitigantes adicionales, seguiremos reforzando los requerimientos de los documentos de viaje para cruzar las fronteras a fin de mejorar, tanto la seguridad fronteriza como también la privacidad del portador del documento”.

La Licencia de Nueva York y más allá.

Todavía, ningún investigador independiente ha publicado una evaluación de la licencia mejorada de Nueva York, pero la tarjeta evita algunos de los temas que surgieron respecto a la tarjeta nacional y a la de Washington. Los chips de las licencias de Nueva York tienen números seriales para protegerlos contra falsificaciones, y sus bancos de memoria fueron sellados para protegerlos contra un uso no autorizado de órdenes. Es admirable que Seguridad Interna y que los estados con los cuales está trabajando estén dispuestos a utilizar tecnologías mejores de las que usaron al principio. Pero no esta claro si estos esfuerzos llegarán lejos.

Las licencias de Nueva York presentan los mismos temas de privacidad que las otras tarjetas, y como sugieren los comentarios de Keehner, los funcionarios tienden a descartar esos asuntos (lo que bien puede significar que no se haga nada al respecto). Sin embargo, será posible proteger la privacidad de los portadores de tarjetas sin exigirles que no pierdan las fundas de seguridad. Avi Rubin dice, por ejemplo, que cada tarjeta podría tener un botón que permitiera al usuario controlar cuándo mandar la información. A menos que el botón esté oprimido, la tarjeta no responderá a sondeos. Dichas tarjetas podrían costar un poco más, pero podrían ofrecer más seguridad y más privacidad.

Sin embargo, mientras se sigan ignorando los problemas existentes, es poco probable que la tecnología sea lo suficientemente buena como para proteger las fronteras internacionales sin comprometer la privacidad de miles o de millones de personas. Por su parte, Tadayoshi Kohno dice que en este momento no está convencido de que la RFID siquiera ofrezca ventajas de seguridad sobre la identificación vieja. La tecnología utilizada a esta escala, y para fines así de importantes, debe ser mejor de lo que está reemplazando: la experiencia estadounidense con el sistema de voto electrónico demuestra lo que pasa cuando no es así. Si los funcionarios siguen defendiendo el uso de tiritas, como las fundas de seguridad en vez de trabajar para abarcar el total de lo que expresan los críticos, a la larga debilitarán la misma tecnología que esperan promover. Mientras que es factible que la nueva tecnología haya venido para quedarse, podría transformarse en un fiasco si los funcionarios no le prestan atención al trabajo de los hackers y de los investigadores de la seguridad. Estas personas tratan de exponer las debilidades antes de que alguien las explote maliciosamente. Es mucho menos doloroso soportar las noticias que vengan de ellos que esperar hasta que el problema se transforme en algo embarazoso o devastador.