Qué es el RFID

Definición

• RFID (siglas de Radio Frequency IDentification, en español Identificación por radiofrecuencia) es un método de almacenamiento y recuperación de datos remoto que usa dispositivos denominados etiquetas o tags RFID. Una etiqueta RFID es un dispositivo pequeño, como una pegatina, que puede ser adherida o incorporada a un producto, animal o persona. Las etiquetas RFID contienen antenas para permitirles recibir y responder a peticiones por radiofrecuencia desde un emisor-receptor RFID (también conocido como lector RFID) así como un chip con capacidad de almacenamiento de datos. Uno de esos datos guardados es un identificador único. Fuente: Wikipedia

Un tag RFID no es lo mismo que un tag antirrobo.

• Desde hace ya varios años prácticamente todos los establecimientos de venta al detalle han etiquetado sus productos con dispositivos antirrobo y los accesos a los establecimientos con unos arcos detectores de estas etiquetas. Aunque estas etiquetas también transmiten por radiofrecuencia, no son tags RFID, ya que no disponen de un chip de almacenamiento de datos ni de un número de identificación único.

Diferencia entre Tags RFID activos y Tags RFID pasivos

• Hay dos tipos tipos de etiquetas: las que requieren alimentación eléctrica interna se llaman etiquetas activas. Las que no la requieren se conocen como etiquetas pasivas. Una etiqueta activa se puede leer a una distancia de varios metros, mientras que una pasiva solo se lee en un rango de centímetros – en teoría.

¿Se puede leer un tag RFID a distancia?

• Los tags RFID activos están diseñados para poder ser leidos a distancia de varios metros.
• Los tags RFID pasivos están diseñados para ser leidos a centímetros de distancia del lector RFID. En la práctica el rango de alcance de un lector depende de su potencia de emisión, y modificando lectores RFID para aumentar a una potencia de unos 4 W (con el riesgo que eso implica para la salud humana) y aumentando también el tamaño de la antena se han logrado leer tags RFID pasivos a 6 metros de distancia. Si pensamos que en el día a día en una ciudad muchas veces la distancia que nos separa de otras personas es prácticamente nula (en el transporte público, en una tienda, caminando por la calle…) podemos concluir que es en realidad muy sencillo leer un chip RFID que llevemos encima.

¿Se puede implantar un tag RFID en las personas?

• No solamente se puede, sino que en la actualidad se está haciendo. Casos emblemáticos son los de la discoteca barcelonesa Baja Beach Club, que desde marzo del 2004 ofrece la inyección en el antebrazo de un tag RFID que actúa como tarjeta monedero (referencias en Google). Desde ese mismo año en México, ciertos funcionarios de la Procuraduría General de la República tienen implantado ese mismo tipo de chip RFID mediante el cual se controla el acceso a los archivos de la dependencia (referencias en Google). Se estima que en la actualidad unas 2.000 personas llevan implantado un tag RFID (fuente: Wikipedia).
• El chip implantado en ambos casos está producido por la empresa Verichip Corporation. El producto que ellos comercializan es un chip RFID de baja frecuencia encapsulado de tal manera que se puede implantar en seres humanos y ha sido aprobado por la Food and Drugs Administration estadounidense (equivalente al ministerio de sanidad).
• Pese a contar con esa autorización, hay dudas razonables sobre los efectos en la salud que podría presentar dicho implante. En especial no se sabe qué efectos podría tener ser sometido a rayos X o un estudio de radiación cuando se lleva un pequeño objeto metálico subcutáneo. (fuente: Spychips)

Entonces, ¿son seguros los tags RFID?

• En absoluto. En Estados Unidos, donde se adoptaron rápidamente algunas soluciones RFID para el pago sin contacto, se han reportado problemas con esquemas como el SpeedPass de la red de gasolineras ExxonMobil. Para que un esquema de este estilo sea eficiente, el gasto por emisión de tarjeta ha de ser muy bajo. Eso hizo que ExxonMobil escogiera chips RFID que utilizan en su gestión de claves algoritmos de encriptación fácilmente vulnerables. Uniendo esto a la capacidad de leer estos chips RFID a distancia y sin contacto, dio como resultado que muchos usuarios reportaran que sus tarjetas habían sido usadas sin su permiso por otros usuarios, lo cual les reportó molestias y perjuicio económico. Más información.

• Pero el caso más grave es el de los pasaportes RFID que son los emitidos actualmente por Estados Unidos, Australia y los países del Espacio Económico Europeo, entre otros. Según se ha reportado en varios medios, este tag RFID se ha podido leer a distancia de varios metros, se ha logrado clonar, y se ha logrado romper la seguridad del chip y acceder a su contenido. La implicación de seguridad es evidente: una persona puede leer la información de un pasaporte a distancia, hacer una copia de sus datos, y emitir un pasaporte falso con un clon exacto de ese chip, y de esa manera identificarse como el titular original del documento. Además, en una empresa estadounidense, Flexidis, se han realizado pruebas de concepto de sistemas capaces de hacer explotar una bomba a distancia justo en el momento en que se le acerque a ella un pasaporte estadounidense con RFID. Más información.

Qué uso se le pretende dar

Comercial

• En ambientes comerciales la RFID es vista como una herramienta de optimización publicitaria. En tanto la RFID permite monitorizar nuestros movimientos y el de los objetos que usamos (siempre que tengan implantado uno de estos chips), esta tecnología no sólo hace posible el análisis de productos más comprados sino el modo en que estos se usan. Esto es mucho más que la simple creación de un historial de compras: Esto incluye el modo en que nos comportamos con ellos y cuáles llaman más nuestra atención. Estos análisis de venta pretenden ser llevados al interior de nuestros hogares, convirtiendo nuestras casas en espacios de venta y publicidad constante, con el deterioro de calidad de vida que ello conlleva.

Gobierno

• Pasaportes: El Gobierno de EEUU ha exigido a Canadá, la Unión Europea y otros países para los que no exige visa de turista, que a partir del 26 de octubre de 2006, cualquier persona que entre en el país ha de disponer de un pasaporte equipado con un tag RFID.

  En Alemania y el Reino Unido ya hace meses que se entregan.

  En algunas ciudades de España se emiten desde agosto de 2006, siendo su implantación desigual a lo largo del territorio del estado.

Usos actuales

En la actualidad esta tecnología está siendo utilizada en un ámbito creciente de entornos. Transportes, control de acceso a edificios, cadenas de suministro y distribución son algunos de los más habituales.

Transporte público

Glosamos los casos documentados separando los que suceden en el territorio del estado de aquellos que tienen lugar fuera de las fronteras.

España

(en orden alfabético)

• Barcelona: Bicing (bicicletas para desplazamientos cortos)
• Madrid: Abono de transporte
• Málaga: Abono de transporte
• Oviedo: Abono de transporte
• Valencia: Abono de transporte

Extranjero

(en orden alfabético)

• Ciudad de México, México: Tarjeta para Metrobús
• Estambul, Turquía: Akbil, abono de transporte
• Lisboa, Portugal: Tarjeta 4 Colinas, abono de transporte
• Londres, Reino Unido: Oyster Card, abono de transporte
• París, Francia: Navigo, abono de transporte

Acceso a edificios

• Todo tipo de tarjetas "sin contacto" para acceso a oficinas, zonas restringidas, etc. Normalmente mediante tarjetas RFID. En casos extremos, con implantes RFID subcutáneos.

Cadena de suministro

• Control en la manufactura de productos para optimizar la cadena de suministro (objetivo original de la tecnología RFID).
• Extensión de la cadena de suministro hasta el hogar del consumidor por motivos de marketing relacional y monitorización de los hábitos del consumidor.

Productos con RFID

• Productos de Leche Pascual. Fuente: RFID Journal
• Zapatos de El Corte Inglés. Fuente: IdTechEx

Impacto en tu privacidad

Marketing relacional y segmentación individual

En la actualidad de practica el marketing relacional, es decir, el que se basa en establecer una relación directa con el cliente, con la intención de conocer mejor sus necesidades y proporcionarle los productos y servicios que las satisfagan de modo más efectivo (Rodríguez Ardura, 2002). El objetivo es llegar a conocer los gustos, características y situación de cada cliente potencial para poder hacerle ofertas personalizadas a las que no se pueda resistir – esto se conoce como segmentación individual del mercado.

La implicación de privacidad es evidente. Hay empresas que se dedican a crear estos perfiles individuales cotejando todo tipo de fuentes de información, desde hábitos de comunicación en Internet, a compras pagadas con tarjeta de crédito. En el caso extremo los comerciantes quieren incluso conocer el comportamiento de sus clientes tanto dentro como fuera de sus supermercados, es decir, en su ámbito privado. RFID es una de las tecnologías que más potencial ofrecen al respecto. IBM ha publicado una patente de seguimiento de personas en supermercados. En el ámbito doméstico, se evalúa el uso del RFID para que los establecimientos puedan seguir registrando información sobre los productos a través de dispositivos como la nevera RFID.

Vigilancia en aeropuertos

Los pasaportes y documentos de identificación con RFID son sólo el principio de una vigilancia extrema en los aeropuertos. La siguiente animación elaborada por la Agencia de Seguridad del Transporte estadounidense muestra un prototipo de como se pueden vigilar y monitorizar a los ciudadanos que utilicen las instalaciones de un aeropuerto. Y sin su conocimiento ni autorización.

• Enlace a la animación (en inglés).
• TSA concept video shows future RFID-enable airport - Artículo de Spychips (en inglés).

Lo que se aplique en los aeropuertos será sólo el comienzo. Pronto se extenderá a otros ámbitos de la vida diaria.

Impacto en tu seguridad

RFID no es seguro

• Un chip RFID transmite, siempre que es activado (y podrá ser activado remotamente (chips «pasivos») o internamente (chips «activos», equipados con batería propia), la misma señal. Siempre. Por este motivo es posible clonar enteramente la información de dicho chip, esté ésta cifrada o no lo esté. Tan sólo se requiere un receptor de radiofrecuencias capaz de copiar la señal emitida por el chip. Esta tesis sirve para eliminar todo concepto de seguridad en chips RFID. Incluso chips «seguros» en los que la información se transmita cifrada son inseguros debido precisamente al mecanismo de acción de éstos: enviar siempre la misma señal. El cifrado puede «ocultar» la información, pero no evitará la copia. Para que se entienda la debilidad de este sistema nada mejor que un ejemplo: Alguien puede clonar un chip implantado en un documento de identidad (por ej. pasaporte), si la información está cifrada es probable que nunca sepa de quién es, pero eso no impedira que cometa un presunto delito, que será asociado a la identidad (desconocida para él, pero conocida para la policía que podrá descifrar la información del chip) suplantada. Una persona podría estar siendo involucrada en los delitos cometidos por otra.

Clonación de chips, implicaciones

• En la sección anterior se habla de la inseguridad de los chips RFID. La principal implicación de seguridad viene precisamente de la susceptibilidad, anteriormente descrita, de los mismos de ser clonados. Para clonar un chip no hace falta saber qué información está transmitiendo; por tanto cifrar la información no hace del chip RFID algo seguro. Un chip RFID, como los empleados en pasaportes, puede ser clonado y la persona que lo clona no necesita saber cuál la identidad que contiene el chip clonado, le bastará con suplantar la identidad, sin estar obligado a saber qué identidad está suplantando. La clonación de chips RFID se torna especialmente peligrosa cuando hablamos de documentos oficiales equipados con estos chips (como los pasaportes Españoles emitidos desde el 1 de agosto del año 2006)

Propuestas/peticiones en cuanto a legislación de RFID

Esta es una lista no exhaustiva de aspectos a considerar en una ley de regulación del uso de RFID, que cada vez resulta más necesaria y urgente.

Etiquetaje de objetos que contengan RFID

• La administración debería obligar a avisar claramente, a través de etiquetas, cuando un producto, tarjeta u objeto de consumo en general lleva un tag RFID incorporado, tanto en el embalaje como en el producto en sí. El consumidor tiene derecho a saberlo, y tomar una decisión de compra en base a esta información si así lo desea.

Desactivación permanente de tags RFID

• Para los productos que dispongan de RFID tanto en el embalaje como en el propio producto, se debería garantizar que el tag RFID es desactivado permanentemente (no vale con dejarlo en estado latente, o dormido).
• Se debería garantizar la disponibilidad de dispositivos de desactivación permanente de tags RFID para ser utilizados por el usuario o consumidor.

Disponibilidad de lectores RFID y dispositivos de desactivación permanente de RFID en espacios públicos

• Se debería garantizar la disponibilidad tanto de lectores RFID como de dispositivos de desactivación permanente de tags RFID (RFID Zappers) para ser utilizados por el usuario o consumidor. Estos deberían estar presentes en espacios públicos como mercados municipales, ayuntamientos, bibliotecas...

Seguimiento de personas

• Prohibición de cualquier tipo de seguimiento a personas en entorno público o privado, incluyendo la trazabilidad de empleados durante su jornada laboral, ya sea mediante RFID u otros medios como dispositivos GPS, excepto:
  • Localización de personas que sufren dolencias que cursen con pérdida de memoria o desorientación (alzheimer, parkinson, demencia senil...)
• Prohibición de implantes RFID, al menos hasta que existan estudios clínicos, del mismo rigor de los utilizados por medicamentos, al respecto.
• Casos conflictivos, ¿qué proponer?
  • En el caso de seguimiento de activos (por ejemplo flotas de vehículos) en los que la a partir de la posición del activo se puede conocer la del empleado, ¿qué hacer?
  • Seguimiento de personas por motivos de seguridad: arrancar un chip implantado es fácil, en caso de secuestro de muy poca utilidad va a ser.
  • Marcado con RFID de niños. Es una bomba de tiempo.

Eliminar el uso de RFID en documentos oficiales

• Debido a las implicaciones de seguridad de las soluciones RFID se deberían retirar inmediatamente todos los documentos oficiales que dispongan de RFID, como el pasaporte.
• Siguiendo la recomendación de los expertos de gestión de identidad europeos, la declaración de Budapest, se debería congelar cualquier proyecto de utilización de RFID en documentos oficiales (DNI, pasaporte, permiso de conducir, etc.). Declaración de Budapest (en inglés)

Alternativas a tarjetas que usen RFID

• Las entidades o establecimientos que decidan emitir tarjetas u otros instrumentos de pago o de identificación, deberían estar obligadas a ofrecer alternativas que no utilicen RFID (por ejemplo, tarjetas de crédito con banda magnética, abonos de transporte no RFID, etc).

Bibliografía

• ALBRECHT, K., MCINTYRE, L, Chips Espías, Grupo Nelson, 2006. ISBN 0881130669
• RODRÍGUEZ ARDURA, I, Marketing.com y comercio electrónico en la sociedad de la información, Ed. Pirámide, 2002. ISBN 84-368-1655-2

Enlaces externos

Noticias sobre RFID

• Noticias sobre RFID

Organizaciones

• Spychips

Información sobre RFID

• Preguntas y respuestas sobre los chips espías - Rebelión