En el presente artículo se analizan desde la perspectiva de la seguridad los componentes de los sistemas de auto-identificación que permiten la identificación-autenticación basada en dos factores que no requiere recordar contraseña o PIN alguno. Se basan en combinarse lo que uno lleva, por ejemplo una etiqueta RFID implantada debajo de la piel o pegada y lo que uno es o como se comporta uno, nos referimos a la biometría basada en características físicas (rasgos biológicos-fisiológica como huella dactilar, patrón del iris o retina, geometría de la mano o facial, silueta del cuerpo, geometría de las orejas, trazas biológicas como ADN, sangre, saliva, olor) o características de comportamiento (como la forma o dinámica de teclear, de firmar, de andar, de hablar, de hacer muecas, etc.).

Los sistemas de auto-identificación y autenticación de dos factores no memorísticos basados en RFID y biometría presentan un creciente número de aplicaciones (todos tipo de personal que no se les puede permitir errores de introducción de contraseñas, personas con patologías neurológicas, Alzeimer, niños, enfermos, analfabetos, presos de cárceles, animales, etc.) ya que no se requiere recordar ni memorizar ninguna frase de paso, PIN, contraseña, respuestas a preguntas aleatorias o foto dentro de una matriz o mosaico de muchas fotografías reunidas (caso de las contraseñas visuales). RFID (Radio Frequency Identification) es una tecnología que permite identificar objetos-productos, personas o animales de forma remota utilizando una pequeña etiqueta (o transponder) que se adhiere, inserta, embebe, incorpora o implanta a la entidad a identificar, es decir ofrece un método para almacenar y recuperar de forma remota datos utilizando etiquetas RFID. Presenta un gran potencial para todo tipo de industrias, servicios y aplicaciones y un extenso y creciente espectro de posibles usos. Uno de los primeros lugares donde se utiliza desde hace tiempo y donde promete excelentes resultados es la gestión de stocks para mejorar la cadena de suministro. Pero también se emplea para identificar entidades amigas y enemigas en guerras (envío de proyectiles sobre objetivos), para llaves de apertura de vehículos/portales/puertas, en tarjetas para transportes públicos (metro, autobús, tren, tranvía, ascensores, funiculares, etc.), en pasaportes electrónicos (ePassport, estandarizado por el ICAO, International Civil Aviation Organization), para tickets de acceso a eventos, implantes para seguimiento e identificación de la localización en tiempo real de personas (ancianos, niños, delincuentes), vehículos robados, identificación de animales domésticos/salvajes (ISO 11784/11785), en la fabricación de polvos para maquillaje, para esparcir en manifestaciones no autorizadas, en vehículos sospechosos, en bibliotecas para mejorar el préstamo de libros y el inventario, como sensores sofisticados para seguimiento de presión y temperatura de neumáticos, control de acceso a edificios, zonas VIP, etc. El lado negativo de la tecnología RFID es que se debe proteger contra posibles amenazas a la seguridad y privacidad (virus, inyecciones SQL maliciosas, ataques, etc.).

RFID utiliza transmisión inalámbrica de información entre la etiqueta y una unidad lectora sin necesidad de que exista visibilidad, la transferencia de información es bidireccional utilizando dos operaciones (lectura y escritura) y existe una correlación automática entre el objeto que la transporta y los datos guardados. RFID a menudo se utiliza como un término genérico para definir una infraestructura más completa que integra: (i) Etiquetas o transponders (a veces denominadas chips-RFID). (ii) Unidades lectoras. La mayor parte pueden escribir también sobre las etiquetas. (iii) Algún tipo de Middleware denominado servidor frontera que conecta la unidad lectora a un servidor, a veces se encuentra sobre un sistema embebido sobre la unidad lectora. (iv) Algún tipo de infraestructura de comunicaciones. (v) Algunas bases de datos que almacenan la información de las etiquetas (opcional). (vi) Se integra con granjas de servidores, data-warehouses, servicios y sistemas de soporte.

Tecnología biométrica. Flujo de proceso

La biometría es una tecnología que permite registrar personas-animales en base a sus características físicas (biológicas, fisiológicas) o de comportamiento para propósitos de auto-identificación y autenticación. El reconocimiento facial es la forma más antigua de método de identificación. El flujo del proceso biométrico pasa por diferentes fases. El usuario proporciona datos biométricos en el proceso de inscripción en el sistema biométrico (pero en combinación con RFID para reducir posibles amenazas). El sistema extrae las características de los datos biométricos del individuo y crea una plantilla y la almacena en el sistema para una futura comparación. Durante el proceso de autenticación el usuario proporciona de nuevo sus datos biométricos para que el sistema biométrico verifique/identifique. El sistema de nuevo extrae las características, crea una plantilla y compara con la(s) plantilla(s) de la fase de inscripción. Se calcula un resultado o nivel de confianza en base a la comparación que determina el grado de similitud entre las dos plantillas. Será comparación positiva si el resultado de la comparación excede el umbral preestablecido, en caso contrario la comparación se dará como negativa. Obviamente la seguridad depende del umbral seleccionado. No obstante el resultado final del sistema propuesto se correlacionará con la información RFID, lo cual reduce los posibles falsos FMNR (False Non Match Rate) y FRR (False Rejection Rate). El FNMR ocurre debido a cambios en las características biométricas del usuario, a modificaciones en la fase de inscripción en que los datos se capturan y a cambios en como los datos se presentan. Como no existe un 100% de coincidencia en un sistema biométrico puro su combinación con RFID mejora los niveles de rendimiento.

Características-clasificación de etiquetas RFID
Existen muy diversos tipos de etiquetas RFID según la aplicación hacia donde vayan a utilizarse. Se pueden identificar los siguientes criterios de clasificación: (1) Cómo es su fuente de alimentación. Aparecen las siguientes categorías: (i) Etiquetas pasivas. No poseen fuente de energía interna. Obtienen energía del campo electromagnético de la lectora. (ii) Etiquetas activas. Poseen una batería que se utilizan tanto para cálculos internos como para la transmisión. (iii) Etiquetas semi-pasivas. Tienen una batería para sus cálculos internos, sin embargo la energía requerida para la transmisión procede del campo electromagnético de la unidad lectora. (2) Cúal es la banda de frecuencias que utilizan. Aparecen las siguientes categorías: (i) Etiquetas LF. Utilizan la banda de 125-134 kHz, se emplean para identificación de animales domésticos, seguimiento de stock. (ii) Etiquetas HF. Utilizan la banda de 13,553-13,567 MHz, se emplean en tarjetas inteligentes, bibliotecas, identificación de productos textiles. Las etiquetas MIFARE se basan en ISO 14443, utilizan la frecuencia 13,56 MHz, la tecnología es de Philips Austria GmbH e incorporan capacidades de cifrado. (iii) Etiquetas UHF. Utilizan la banda de 860-960 MHz, se emplean en el seguimiento de la cadena de suministro. (iv) Etiquetas UHF. Utilizan la banda de 2,4000-2,4835 GHz, se emplean en identificación de flotas de vehículos, en peaje inalámbrico de autopistas. (3) Rango-distancia de la comunicación.

La distancia depende la potencia de transmisión, de la frecuencia utilizada y de las consideraciones electrónicas de las antenas. Aparecen las siguientes categorías: (i) Etiquetas de rango centimétrico. Operan en LF. (ii) Etiquetas de rango decimétrico. Operan en HF. Con una mayor potencia y mejores antenas una etiqueta puede leerse a metros utilizando 13,56 MHz. (iii) Etiquetas de rango en metros. Operan en UHF. Es posible obtener mayores distancias incluso de kilómetros e incluso vía satélite. La potencia de la transmisión se especifica en normas Europea del ETSI como EN-300-330, EN-300-220, EN-300-440, EN-300-328. El canal de lectora a etiqueta (canal de envío) permite leer a mayor distancia que con el canal de retorno de etiqueta a lectora. (4) Cual es su memoria. Las etiquetas tienen al menos unos pocos bits para almacenar el UID (Unique Identifier). El tamaño del UID es de 32 a 128 bits. Normalmente el UID lo elige el fabricante y no lo puede cambiar el usuario. Las etiquetas pueden tener memoria adicional (EEPROM) 1KB es un valor típico entre las etiquetas que disponen de EEPROM. 70KB es el tamaño de memoria en un pasaporte. Se utilizan memorias R/W WORM (Write One time Read Many times) para almacenar datos y metadatos. Las etiquetas EAS (Electronic Article Surveillance) disponen de sólo un bit (EAS permitido o EAS inhabilitado, no sirven para identificación no son etiquetas RFID propiamente dichas. La memoria de una etiqueta RFID ISO 15693 actúa como una memoria normal; la herramienta RFDump puede ayudar a manipular los datos de la etiqueta utilizando una interfaz de usuario tipo editor hexadecimal; son posibles inyecciones maliciosas SQL y de malware. (5) Cúales son las capacidades de computación. Aparecen las siguientes categorías: (i) Sin capacidades de computación y memoria. (ii) Posibilidad de operaciones lógicas. Por ejemplo para verificar un pasaporte. (iii) Capacidad de criptografía simétrica. Realizan cifrado simétrico como el DES, AES, XTEA y algoritmos propietarios, a veces no necesitan microprocesador.  (iv) Criptografía asimétrica o de clave pública. Realizan algoritmos como ECC, RSA-CRT, requieren de microprocesador. (6) Resistencia a la alteración. Es una cuestión de controversia. Algunas personas consideran que se debe tener cuidado con las etiquetas resistentes a alteración, por ejemplo si la misma clave se comparte por todas las etiquetas. Otras personas, más razonables, consideran que las etiquetas si son no resistentes a alteraciones el costo de un ataque puede ser caro comparado con la ganancia, y recomiendan poner una clave diferente en cada etiqueta. A veces el que no sea resistente a la alteración se debe sopesar con el hecho de que sea difícil tener acceso a la etiqueta, por ejemplo una etiqueta RFID subcutánea. (7) Tipo de objetos que las transportan: materiales férricos, metálicos, fluidos corrosivos, aislantes, plásticos, material biológico (utilización de nanotecnología). (8) Estándares soportados.

Los más usuales son: (i) ISO (Internacional Organization for Standardization), http://www.iso.org. Por ejemplo: 14443 (ISO-14443A Mifare, 14443B CryptoRF, 14443C/D/E/F), ISO 15693 (Texas Instruments), 11785, 17364, 15459, 24721, 17367, 19762, etc. (ii) EPC (Electronic Product Code), http://www.epcglobalinc.org/. La EPCglobal Network fue desarrollada por el Auto-ID Centre, un equipo de investigación global dirigido por el MIT (Massachusetts Institute of Technology) con laboratorios por todo el mundo. El EPCglobal es una organización de estándares sin ánimo de lucro basada en consenso y neutral. Ha creado los estándares Clase-1 Gen-2 y Clase-0 y Clase-1 Gen-1 que incorpora comandos kill que los activan las lectoras si se sabe una cierta contraseña.

Las etiquetas RFID pueden clasificarse en cuatro clases: (1) Etiquetas clase 1. Pasivas de identificación. Sus características mínimas son: (i) Un identificador EPC. (ii) Un identificador TID (Tag Identifier). (iii) Una función “kill” que inhabilita permanentemente la etiqueta. (iv) Control de acceso protegido por contraseña opcional. (v) Memoria de usuario opcional. (2) Etiquetas clase 2. Pasivas de más alta funcionalidad. Sus características son: (i) Un TID extendido. (ii) Memoria de usuario extendida. (iii) Control de acceso autenticado. (iv) Características adicionales TBD. (3) Etiquetas clase 3. Semipasivas. Sus características por encima a las de clase 2: (i) Una fuente de alimentación integral. (ii) Incluye circuitería de sensor integrada. Una aplicación es detectar presión neumáticos. (4) Etiquetas clase 4. Activas. Sus características por encima de la clase 3 son: (i) Permite comunicaciones etiqueta-etiqueta. (ii) Posibilita comunicaciones activas. (iii) Posee capacidades de red ad-hoc.

Módelo STRIDE para análisis de amenazas en RFID

Este modelo consta de seis aspectos (S, T, R, I, D, E): (1) Spoofing identity. Ocurre cuando un atacante se hace pasar con éxito como un usuario autorizado. Algunos casos: (i) Un adversario realiza un inventario no autorizado del almacén del competidor escaseando (los números EPC de) las etiquetas con una lectora no autorizada para conocer los tipos y cantidades de productos. (ii) Un atacante puede determinar que organización esta asociada a un número EPC haciéndose pasar como un usuario autorizado de ONS (Object Name Service) y lanzar interrogaciones de números EPC al ONS. El middleware interroga a ONS con el número EPC para determinar la URL de la base de datos que contiene la información de un número EPC concreto. Si un atacante se hace pasar como un usuario autorizado middleware puede lanzar interrogaciones y obtener URLs que determinan la localización y posible identificación de la organización que contiene información sobre el número EPC. (iii) Un atacante determina la información completa de un objeto haciéndose pasar por un usuario autorizado de la base de datos referenciada por ONS. (iv) Un atacante se hace pasar por un servidor ONS y puede obtener números EPC o responder con URLs inválidas que permiten alterar datos o un ataque DoS. (2) Tampering con datos. Ocurre cuando un adversario modifica, añade, borra o reordena datos.

Algunos casos: (i) Un atacante modifica el contenido de una etiqueta. Por ejemplo presente en el pasaporte para que se convierta en terrorista o deje de serlo. (ii) El atacante añade varias etiquetas a un objeto. Puede hacer creer que tienen más productos dentro. (iii) El atacante borra los datos de la etiqueta. Por ejemplo una lectora no autorizada lanza comandos “kill”. Un ladrón destruye físicamente etiquetas para evitar pagar o por privacidad. (iv) Un atacante reordena los datos de una etiqueta o reordena etiquetas de productos caros y los coloca en baratos. (v) Un atacante modifica la señal de retorno de la etiqueta a la lectora. (vi) Un atacante se hace pasar por un servidor ONS y responde con la URL incorrecta en respuesta a una interrogación ONS de un gestor. (vii) Un atacante modifica, añade, borra o reordena datos de una base de datos que contiene información acerca de números EPC. (3) Repudio. Ocurre cuando un usuario deniega una acción y no existe prueba que permita demostrar que se ha realizado la acción. Algunos casos: (i) Un vendedor al pormenor deniega recibir un cierto pallet, bulto o producto. Se necesita un protocolo de no repudio para asegurar que ni el emisor ni el receptor puedan negar acciones. (ii) El propietario del número EPC niega tener información acerca del producto al que la etiqueta RFID esta asociada, esto puede dar lugar a que se niegue la garantía para reparar o devolver. (4) revelación de Información.  Ocurre cuando la información se ve expuesta a un usuario no autorizado, es una amenaza a la privacidad si es información tiene que ver sobre una persona. Algunos casos: (i) Una bomba explota en un restaurante cuando se detecta que hay un determinado número de ciudadanos de un cierto país, se sabe por las etiquetas de sus pasaportes. (ii) Una pantalla detecta las etiquetas que lleva una persona y le muestra recomendaciones de compra en unos almacenes. (iii) Un adversario puede hacer un inventario no autorizado. (iv) Un atacante puede crear una etiqueta duplicada con el mismo número EPC y devolver un producto falso para que le devuelvan el dinero. (5) Denial of Service. Deniega el servicio a usuarios válidos. Algunos casos: (i) Un atacante lanza comandos “kill” (averiguando la contraseña) a etiquetas en una cadena de suministro para trastornar operaciones de negocios y causar pérdidas económicas. (ii) Un atacante inhibe las comunicaciones RF o simula muchísimas etiquetas para saturar los protocolos anti-colisión. (iii) Un atacante coloca una etiqueta absorbente de energía que impide a las etiquetas legítimas energizarse. (iv) Un atacante destruye o cambia de lugar físicamente etiquetas colocadas a los objetos. (v) Un atacante apantalla con una caja de Faraday las etiquetas. El pasaporte lo mete en una bolsa de aluminio. (vi) Un atacante con una lectora de gran potencia interfiere a la lectora autorizada y hace indisponible el sistema. (vii) Un atacante realiza un ataque DoS a los servidores que guardan los números EPC de las lectoras. (viii) Un atacante realiza un ataque DoS contra ONS. (ix) Un atacante envía interrogaciones URL a una base de datos lo que causa que la base de datos interrogue y por tanto deniegue acceso a usuarios autorizados. (6) Elevación de privilegios. Ocurre cuando un usuario sin privilegios o atacante gana privilegios mayores en el sistema a los que esta autorizado, utilizando por ejemplo buffer-overflow. Algunos casos: (i) Un atacante se logea (abre sesión) en la base de datos para determinar información de productos y puede incrementar su estatus y pasar de usuario a administrador del servidor raíz y escribir o añadir datos maliciosos en el sistema.

Consideraciones finales
Nuestro grupo de investigación lleva trabajado en sistemas de auto-identificación desde más de quince años. Se han analizado, sintetizado diversos esquemas y plataformas combinando RFID y biometría.

 

Más información

 

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).

Bibliografía

- Areitio, J. “Identificación y análisis en torno a las tecnologías de autenticación de usuarios”. Revista Conectrónica. Nº 106. Abril 2007.
- Areitio, J. “Análisis en torno a la tecnología biométrica: Parámetros de precisión-rendimiento”. Revista Conectrónica. Nº 114. Febrero 2008.
- Areitio, J. “Identificación y análisis en torno a la criptografía biométrica”. Revista Conectrónica. Nº 117. Mayo 2008.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2008.
- Areitio, J. “Análisis en torno a la identificación, autenticación y biometría”. Revista Conectrónica. Nº 99. Julio 2006.
- Yanushkevich, S., Shmerko, V. and Popel, D. “Biometric Inverse Problem”. CRC Press. 2005.
- International Biometric Industry Association: http://www.ibia.org.
- Biometric Consortium: http://www.biometrics.org.- 
- International Biometric Group: http://www.biometricgroup.com.
- Fingerprint Vendor Technology: http://fpvte.nist.gov/index.html.
- Buchanan, W.J. “The Handbook of Data and Networks Security”. Springer. 2009.
- Cole, P.H. and Ranasinghe, D.C. “Networked RFID Systems and Lightweight Cryptography: Raising Barriers to Product Counterfeiting”. Springer. 2007.
- Thornton, F. and Lathem, C. “RFID Security”. Syngress. 2006.

Autor:

Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Catedrático de la Facultad de Ingeniería. ESIDE.

Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .