martes, 10 de agosto de 2010

Microchips de radiofrecuencia pueden espiar nuestros hábitos

Los dispositivos de radiofrecuencia presentes en los objetos de consumo -para alertar de robos en las tiendas, para controlar las mercancías de un almacén o para pagar de forma automática en un peaje- podrían servir para espiar los hábitos del cliente. Las instituciones temen los riesgos y estudian una regulación.
Son las etiquetas inteligentes, pequeños chips adheridos a todo tipo de objetos que funcionan mediante radiofrecuencias: desde bolsos hasta pasaportes, pasando por medicamentos o entradas para el fútbol. Su uso sin control ha sido puesto en cuarentena por las autoridades de protección de datos. Se quejan de que pueden invadir la privacidad y poner en riesgo la seguridad de los ciudadanos al poner al descubierto datos personales.

Estos artilugios funcionan mediante tecnología RFID (etiquetas de identificación por radiofrecuencia) y son cada vez más frecuentes en la vida cotidiana. Llevan incorporada una microemisora de radio que en la mayoría de los casos pasa inadvertida. Los consumidores pueden llevarla conectada sin enterarse de que van dejando un rastro sobre sus gustos y comportamientos.

DISTINTOS TIPOS
Hay que distinguir, al menos, entre dos tipos de tags o etiquetas: las pasivas, que emiten señales solo cuando entran en el campo de acción de un lector, y las activas.

El campo de alcance de las primeras varía, dependiendo de muchos factores, entre unos pocos milímetros y los siete metros. Las activas, por su parte, emiten señales todo el día (igual que un teléfono móvil) y son mucho más caras y menos frecuentes. Se encuentran, por ejemplo, en los peajes automáticos de las autopistas. Se trata de etiquetas inteligentes que almacenan información en un chip de minúsculo tamaño. Un lector permite identificar, a distancia, cualquier producto.

El abaratamiento de costes ha hecho que cada vez proliferen más estos sistemas. En España se calcula que el 3% de las pequeñas y medianas empresas tienen instaladas esta modalidad de etiquetas mientras que en las grandes compañías el porcentaje se eleva al 20%.

Según un estudio elaborado por el Instituto Nacional de Tecnología de la Comunicación (Inteco), las empresas dedicadas al transporte y almacenamiento son las que más los emplean. Pero su uso está en plena expansión en otros sectores, como la informática o el comercio.

ALERTA EUROPEA
El Parlamento Europeo ha alertado sobre ellos. El pasado mes de junio instó a los Estados a poner en marcha mecanismos para que el uso de estos artilugios garantice la privacidad y la protección de datos de los ciudadanos. Para preservar los derechos de los usuarios, ese organismo apuesta por crear un marco jurídico europeo que garantice la privacidad de los ciudadanos, y en el que los consumidores tengan derecho a interrumpir en cualquier momento la conexión a estos chips.

La Unión Europea, de hecho, pidió a finales de 2009 a tres entidades europeas de normalización (Celenec, CEN y ETSI) un estudio sobre la posible regularización para proteger al consumidor final. Actualmente una comisión estudia la creación de un logo que identifique la tecnología RFID -de la misma forma que ahora se indica la presencia de cámaras de vigilancia- y se está debatiendo el establecimiento de niveles de intrusión en la privacidad, según Paloma Llaneza, abogada especializada en nuevas tecnologías.

LA INDUSTRIA DEFINDE SU USO
La industria, por su parte, defiende las utilidades de esta tecnología y niega que pueda llegar a emplearse para intromisiones en la intimidad del consumidor. En opinión de Sergi Cardona, responsable de RFID en la Asociación Española de Codificación Comercial (AECOC), se suele dar protagonismo al "mal uso" de los sistemas de identificación de radiofrecuencia pese a que es "el mismo que se puede dar a cualquier tecnología".

Aplicando las recomendaciones europeas (desactivando por defecto el tag en el punto de venta a no ser que el usuario indique específicamente lo contrario) no debería haber inconvenientes ni se debería destapar ningún dato personal del cliente, para Cardona. Además, de este modo se sacaría partido a los beneficios del RFID "consiguiendo una gestión empresarial más eficiente, ofreciendo al cliente más facilidades en el momento de pago..."

ADVERTENCIAS
Pero los riesgos no pueden negarse. La Agencia Española de Protección de Datos, alerta a cualquier posible vulneración de la privacidad, ha lanzado la voz de alarma. Advierte de que, pese a las bondades que puedan tener estos mecanismos, es necesario que se exijan garantías para prevenir los efectos perversos.

Para evitar riesgos, la Agencia de Protección de Datos y el Instituto Nacional de Tecnologías de la Comunicación han editado una guía para que el usuario pueda defenderse de estos supuestos "perros guardianes".

Aconsejan que se inutilicen, desactiven o destruyan cuando el usuario haya efectuado una compra en una tienda y, en todo caso, creen necesario que el ciudadano sea informado del uso de estos artilugios. Se evitaría así que algunos objetos, un bolso, por ejemplo, pitaran al pasar por un establecimiento para alarma y sorpresa de su propietaria, como ha ocurrido en determinadas tiendas de Madrid.

No obstante, desde AECOC insisten en que las utilidades de esas etiquetas antihurto son "muy diferentes" de las etiquetas RFID. Aunque ambos dispositivos se basan en los sistemas de radiofrecuencia, según esta asociación, el chip antirrobo no identifica en modo alguno el artículo, con lo que no compromete la privacidad del consumidor.

El sistema RFID -al que los expertos denominan el Internet de las cosas- permite vincular los objetos que se mueven, identificarlos y controlarlos. Pueden llegar a dar información suficiente para la localización de una persona. "Entre las empresas españolas, el uso es todavía incipiente, pero las previsiones apuntan a un crecimiento exponencial en los próximos años".

USO PERSONAL
También pueden ser de uso personal para estos dispositivos. Los padres, por ejemplo, pueden instalarlos en pulseras o en prendas de ropa o bajo la piel para tener localizados minuto a minuto a sus hijos. Algunos hospitales, como el Clínic de Barcelona, han puesto en marcha un sistema de identificación y seguimiento de sus pacientes por radiofrecuencia. Con esta fórmula persiguen mejorar la seguridad y calidad asistenciales de los pacientes.

Como todo, la tecnología tiene dos caras. Pablo Sancho, director comercial de Asís Consultores -que se encarga de implantar estas etiquetas en lavanderías industriales, destaca que la identificación y la preparación logística de una sola prenda con código de barras tarda 16 segundos, mientras que con tags se gestionan hasta 150 prendas en unos 10 segundos. "El RFID es el futuro", asegura Sancho, y su uso no supondrá un problema siempre que "no se grabe nada en el tag, sino en una base de datos local que solo las personas autorizadas puedan consultar". Además, recalca que "a nivel de privacidad de la información, quizá está en una posición más vulnerable el usuario que entra a ver cualquier información vía Bluetooth en su móvil" puesto que la información en el RFID va "encriptada y codificada".

Para Protección de Datos, el principal ataque que puede sufrir la privacidad del usuario es el intento de lectura de la información personal y privada almacenada en estos dispositivos. Y pone como ejemplo las pegatinas adheridas a la ropa: "Pueden ofrecer información capaz de elaborar un perfil con los gustos o aficiones de una persona a partir de sus compras".

Aun con un mal uso, la información delicada "no está específicamente en la tarjeta, se necesitaría acceder a un sistema de información", replica Cardona.

Daniel Alguacil, editor del portal especializado RFID-Spain, añade que reunir datos que puedan llegar a identificar a un consumidor "requeriría una extraordinaria universalización, una implementación a nivel global que a día de hoy no existe". Además, asegura que los "hipotéticos" riesgos para la intimidad que según algunos implica el RFID no son comparables a las ventajas del sistema: "Posibilita la reducción de precios, genera muchísimos puestos de trabajo, aumenta la competitividad de las empresas...".

DEFENSORES Y DETRACTORES
Existen interminables debates entre defensores y detractores. Fuentes de la industria descartan que la distancia de lectura de las tarjetas pueda suponer un factor de riesgo ("hay que estar bastante cerca" para leer una tarjeta pasiva, según Sergi Cardona), mientras que la percepción generalizada se inclina porque "pueden ser leídas a distintas distancias y eso puede suponer un problema", según Llaneza. Además, para la abogada, el problema principal se encuentra en el "tipo de información que llevan dentro y en la combinación que se pueda hacer con otro tipo de etiquetas".

Llaneza afirma que los lectores de etiquetas pueden estar en cualquier parte. "Imagínate que llevas una cartera que has comprado en una gran superficie. En ella llevas el nuevo pasaporte europeo -que tiene una etiqueta RFID dentro-, y una medicación identificada con este mismo sistema. Al pasar por el lector de la gran superficie, o por un lector pirata, alguien podría leer todo lo que llevas en el bolso y saber así si les interesa robarte o no".

"La gran cuestión, según Llaneza", es "qué información va incluida en la etiqueta RFID". ¿Datos personales, información sobre los hábitos de consumo y estilo de vida pero sin nombre ni apellidos...?". Los expertos exigen que se asegure la codificación de la información, que se asegure que las redes de comunicación estén totalmente protegidas para evitar el pirateo y que las etiquetas no identifiquen al usuario final.

RIESGOS PARA CONSUMIDORES
Accesos no permitidos a las etiquetas. Las tarjetas RFID pueden contener datos personales (nombres, fechas de nacimiento, direcciones...) o tenerlos asociados a un sistema central. El ataque puede dirigirse contra ambos.

Rastreo. Una etiqueta RFID que contenga datos personales y sea utilizada para pagar compras, transportes públicos, accesos a recintos, etcétera, podría servir también para observar y clasificar a un consumidor según sus gustos, edad y otras características.

Análisis de comportamientos. Empleando técnicas de minería de datos (extracción de información a partir de las bases de datos), se pueden analizar comportamientos individuales y así definir perfiles de consumo para diseñar y orientar las estrategias publicitarias de las empresas.

Aislamiento de etiquetas. Consiste en el bloqueo de la comunicación entre lector y etiqueta, mediante, por ejemplo, una jaula de Faraday o revestimiento metálico que impide que penetren las ondas de radio.

Saturación del servicio. Se satura el sistema enviando de forma masiva más datos de los que este es capaz de procesar. Invalida el sistema para la detección de etiquetas, con lo que los objetos etiquetados escapan al control del sistema. Puede ser utilizado para la sustracción de mercancía a pequeña o gran escala.

Inutilización de las tarjetas. El atacante puede inhabilitar las etiquetas sometiéndolas a un fuerte campo electromagnético.

Suplantación. Consiste en el envío de información falsa, por ejemplo, sustituyendo una tarjeta RFID por otra para comprar productos al precio de otros más baratos.

Inserción. Se insertan comandos ejecutables en la memoria de datos de una etiqueta donde habitualmente se esperan datos. Los comandos pueden inhabilitar lectores y otros elementos del sistema para desactivar el sistema permitiendo algún tipo de fraude, o una denegación de servicio.

Repetición. El atacante envía al lector RFID una señal que reproduce la de una etiqueta válida, suplantando la identidad.

Ataque ´Man in the Middle´. El atacante interviene en la comunicación entre dispositivo y lector, reemplazando a una de las dos partes. De esta manera puede interceptar información.

Clonación de la tarjeta RFID. A partir de la comunicación entre una etiqueta y el lector, se copian dichos datos y se replican en otra etiqueta RFID para ser utilizados posteriormente.

No hay comentarios: