1

Nuevas reglas de viajes comienzan hoy en medio de preocupaciones sobre pasaportes que tienen tarjetas RFID

Los nuevos requerimientos de viajes tienen efecto a partir de hoy en los Estados Unidos en las fronteras terrestres y marítimas, en medio de preocupaciones de seguridad sobre pasaportes que traen tarjetas RFID que han sido aprobados para viajeros estadounidenses.

Las tarjetas en los pasaportes están siendo usados por el Departamento de Estado de los Estados Unidos bajo un programa dirigido a mejorar la seguridad de los Estados Unidos en las fronteras contra amenazas terroristas. Bajo el programa, llamado la Iniciativa Occidental de Viajes Hemisféricos (WHTI), los ciudadanos estadounidenses que regresan de Canadá, México, Bermuda y el Caribe ya sea por mar o tierra serán requeridos para que enseñen un pasaporte válido, un pasaporte con RFID o una licencia de conducir que cumpla con WHTI a partir de hoy 1 de junio. Actualmente, los ciudadanos estadounidenses pueden reingresen al país desde esas cuatro regiones con una licencia de conducir y una prueba de ciudadanía, tal como un certificado de nacimiento o de naturalización.

Los pasaportes con tarjeta, de los cuales se han emitido cerca de un millón a la fecha, están diseñados para ser seguros pero como una alternativa más barata que los pasaportes regulares. La tarjeta cuesta $45 para mayores de 16 años y $35 para los mayores de 16. En contraste, un pasaporte regular cuesta $100 para mayores de 16 y $85 para los menores.

Los pasaportes del tamaño de una tarjeta de crédito tienen una marca de identificación de radiofrecuencia por proximidad que le permite a los oficiales fronterizos y de aduanas leer tarjetas desde 20 a 30 pies. El objetivo es reducir los tiempos de espera para permitirle a los oficiales acceder a información individual incluso antes de que los viajeros lleguen a la frontera (el Departamento de Aduanas da detalles de cómo usar la tarjeta para ingresar por la frontera de los Estados Unidos en su sitio Web).

Los críticos de las tarjetas en los pasaportes aseguran que esas funciones que hacen conveniente la tarjeta para su uso también ponen en riesgo la seguridad y la privacidad. Organizaciones que incluyen el Centro para la Democracia y la Tecnología (CDT) y el Centro de Información para la Privacidad Electrónica (EPIC) han resaltado que el aviso de cercanía o el amplio rango de las marcas RFID aumenta el riesgo de ser confundido con lectores de tarjetas no autorizados ya que los datos no están encriptadas cuando los viajeros están en el aire.

Los tarjetahabientes podrían transmitir, sin saberlo, información de su identidad mientras viajan, abriendo la posibilidad de que los datos sean robados y las tarjetas clonadas, dicen los grupos.

El CDT dice que los pasaportes RFID son mucho menos seguros que los pasaportes electrónicos estadounidenses, los cuales también usan un chip para almacenar una imagen digital del dueño y todos esos mismos datos que son mostrados visualmente en la primer página del pasaporte. Sin embargo, los chips usados en los pasaportes electrónicos alertan sobre la proximidad y la información encriptada solo se puede acceder a través de un lector en el cruce fronterizo. El chip también viene en la parte trasera del pasaporte y protegida para que no se pueda husmear. Dichas protecciones no están disponibles en las tarjetas de pasaportes, destacó la CDT.

Subrayando estos problemas, el investigador en seguridad Chris Paget demostró a principios de año en una conferencia de seguridad como había hecho para clonar un pasaporte usando un lector de tarjetas de $250 comprado en eBay. Paget colocó un video de él mismo manejando en San Francisco leyendo marcas de pasaportes y otros documentos usando el lector y una antena.

El experimento de Paget se basó  en una investigación anterior de la Universidad de Washington y RSA Labs que mostró como los datos legibles públicamente en las tarjetas de los pasaportes se podían clonar luego de una simple lectura.
Los investigadores también mostraron como las tarjetas en los pasaportes y las marcas RFID colocadas en las licencias de conducir emitidas en el estado de Washington se podían leer a una distancia superior a los 50 metros. Incluso las credenciales en la billetera y con protección para esconderlas podrían ser leídas clandestinamente pero a distancias mucho más cortas, mostró la investigación.

Con solo días para que WHTI tenga efecto completo, ninguno de esos problemas descritos parece haber sido resuelto, dijo Ari Schwartz, analista político en CDT.

“Nuestras preocupaciones no han sido respondidas. Todavía tenemos las mismas inquietudes que teníamos”, ya que los planes para la tecnología RFID usada en las tarjetas de los pasaportes se anunciaron primero, opina Schwartz. Es una preocupación mayor que las mismas marcas Código Electrónico de Producto (EPC) usadas por establecimientos al detalle para rastrear productos que se usan en credenciales de identidad, sin protecciones de seguridad adicionales, agregó.

David Williams, vicepresidente de política en Ciudadanos Contra el Despilfarro Gubernamental (CAGW) resaltó que “será interesante ver que clase de problemas surgen a partir del 1 de junio”.

Como otras organizaciones, CAGW ha urgido al gobierno a reconsiderar el uso de las tarjetas de pasaporte con RFID y licencias de conducir para verificación de identidad en las fronteras. “Tenemos los dedos cruzados para no ver historias surgiendo en los próximos seis a doce meses”, sobre incidentes de seguridad que involucren pasaportes, añadió.

El Departamento de Estado no respondió de inmediato una consulta para hacer comentarios. Sin embargo, en el pasado, oficiales de la agencia y el Departamento de Seguridad Interna de los Estados Unidos habían dicho que los problemas sobre la tarjeta “reflejaban una comprensión incorrecta” del modelo de negocios de WHTI

El departamento también resaltó que las marcas RFID no llevarán ninguna información personal de identificación. En su lugar, las tarjetas almacenan un número único de identificación que puede ser usado para identificar información del tarjetahabiente, que se almacenan por separado en un sistema seguro de Aduanas y Patrulla Fronteriza. También dijo que las tarjetas en los pasaportes serán emitidas con empaques especiales para opacar señales de radio que ayudan a prevenir escaneos no solicitados cuando los viajeros las lleven.

El Departamento de Estado reconoció problemas similares con el anuncio de los planes para pasaportes electrónico en el 2005, dijo Bruce Schneier, CTO en BT Group PLC. Esas preocupaciones llevaron a que el departamento protegiera el chip en la cubierta del pasaporte, afirma Schneier.

“Hay muchas suertes de ataques extraños que son posibles”, en credenciales RFID sin protecciones similares, finalizó.

-Por Jaikumar Vijayan
Computerworld (US)
FRAMINGHAM

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.