Ir al contenido principal

Los riesgos para la privacidad de las etiquetas RFID

En un informe elaborado por ambas instituciones sobre seguridad y privacidad de la tecnología RFID (etiquetas de identificación por radio frecuencia) la AEPD e INTECO advierten sobre el impacto para la privacidad de la creciente implantación de las etiquetas “RFID” en objetos de uso cotidiano. En resumen:
  • Alertan sobre la posibilidad de rastrear a un individuo o incluso del uso indebido de datos personales para analizar su comportamiento, si éstas no son desactivadas correctamente o se producen fallos de seguridad.
  • Se trata de dispositivos o etiquetas que, mediante una onda que transmite datos por radiofrecuencia, permiten vincular objetos, localizarlos e identificarlos de manera unívoca.
  • En la actualidad es frecuente el uso de etiquetas RFID en prendas de ropa; calzado; o pasaportes, y ámbitos tan cotidianos como el transporte; grandes superficies; bibliotecas; o el comercio, para prevenir hurtos y controlar stock, como sistema de identificación y pago, o control de acceso.
  • En España, la implantación de la tecnología RFID suele darse en mayor medida en las grandes empresas, pero las aplicaciones actuales, y las previsiones apuntan a un crecimiento exponencial en los próximos años.
  • Advierten además de los riesgos de su utilización en ámbitos sensibles, como el sanitario, para seguimiento de pacientes o el control de muestras.
  • La guía incluye recomendaciones dirigidas a usuarios y empresas para prevenir riegos y fomentar una correcta utilización de estas tecnologías.
  • El Parlamento Europeo ha aprobado recientemente un informe defendiendo la necesidad de garantizar la privacidad de los usuarios en el empleo de esta tecnología.

Nota de prensa conjunta

La Agencia Española de Protección de Datos (AEPD), y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han elaborado una Guía sobre “seguridad y privacidad de la tecnología RFID”, ante la proliferación de estos sistemas en elementos de la vida cotidiana de los ciudadanos.

En dicha guía, disponible desde hoy en las páginas Web de ambos organismos, se analiza el funcionamiento de esta tecnología, los tipos de dispositivos existentes en la actualidad y sus usos y aplicaciones principales. Asimismo, se recogen de forma destacada los riesgos existentes en materia de seguridad, privacidad y protección de los datos en el empleo, e implantación de los dispositivos de identificación por radio frecuencia, en diversos ámbitos, y las garantías exigibles para prevenirlos.

Presencia en implantación de las RFID en España

En la actualidad los dispositivos o etiquetas de identificación por radio frecuencia (RFIDRadio Frequency Identification Devices), tecnología que permite identificar de forma automática un objeto, gracias a una onda que transmite los datos identificativos del objeto por radiofrecuencia, son cada vez más utilizados en elementos y objetos de uso cotidiano de la ciudadanía, mediante la implantación en dichos objetos de una micro-emisora de radio (denominada ‘tag’ o etiqueta), que actualmente son lo suficientemente pequeñas como para tener la forma de etiquetas adhesivas.

Tanto porque se trata de una tecnología cada vez más barata, como porque los dispositivos, o etiquetas cada vez son más pequeños, comienza a ser habitual su uso en: el etiquetado de prendas de ropa y calzado –para prevenir hurtos y controlar stock–; en tarjetas de transporte; en pasaportes; sistemas para la identificación de mascotas; como sistema de control de mercancías; pago automático en supermercados o en peajes, controles de acceso a eventos deportivos o a zonas residenciales; así como en ámbitos como el sanitario, para seguimiento de pacientes o el control de medicamentos y muestras.

Actualmente, la implantación de la tecnología RFID en España se produce en mayor medida en las grandes empresas. Así, mientras el nivel de adopción de esta tecnología por parte de las microempresas es del 0,8%, y entre las pymes el porcentaje se eleva a 3,1%, en el caso de las entidades de 10 a 49 empleados, y al 8,9% si el rango va de 50 a 249 trabajadores, en grandes empresas (más de 249 trabajadores) el porcentaje es del 20,1%.

Según se señala en el estudio elaborado por INTECO y la AEPD, por sectores, las empresas con actividades de transporte y almacenamiento son las que más utilizan la tecnología RFID. Le siguen el sector financiero, la informática, telecomunicaciones y audiovisuales y el comercio mayorista y minorista. En cuanto a las aplicaciones mayoritarias de la tecnología RFID, se centran -en el caso de las pymes y grandes empresas españolas- en el seguimiento y control de la cadena de suministro y de inventarios, y la identificación de personas y control de accesos. En el caso de las microempresas, con los sistemas de pago –Ej.: peaje de carreteras o transporte de pasajeros– y la identificación de productos.

Si bien, los datos descritos e incluidos en el estudio, ponen de manifiesto, que entre las empresas españolas el uso de la tecnología RFID es aún incipiente, para la AEPD e INTECO las aplicaciones actuales de la tecnología RFID son muchas, y las previsiones apuntan a un crecimiento exponencial en los próximos años.

Riesgos para la privacidad y seguridad

En la guía sobre seguridad y privacidad de la tecnología RFID se hace hincapié en que, si bien esta tecnología ofrece grandes oportunidades y facilidades- ya que se puede aplicar a multitud de campos y resulta muy útil para las empresas y los propios ciudadanos-, a su vez puede plantear serios riesgos, dado que pueden llegar a informar de la localización, identidad e historial de un individuo.

En este sentido, en el apartado dedicado a riesgos y amenazas, ambas instituciones advierten de la existencia de importantes riesgos para la privacidad y riesgos de seguridad.

En cuanto a los primeros, éstos consisten en el acceso no autorizado a información personal de los usuarios, usando la tecnología RFID. En este ámbito, el principal ataque que puede sufrir la privacidad del usuario es el intento de lectura de la información personal y privada almacenada en un dispositivo RFID bajo su posesión. La Guía ilustra la problemática que puede plantearse en el caso de una persona que porte una prenda de un comercio – Ej.: prenda de ropa - que no haya inutilizado las etiquetas o pegatinas RFID, ya que éstas podrían ofrecer información capaz de elaborar un perfil con los gustos o aficiones de esa persona a partir de sus compras.

En este sentido, el estudio distingue entre las principales amenazas más relevantes para la privacidad:
  1. Accesos no permitidos a etiquetas: Pueden contener datos personales de todo tipo.
  2. Rastreo de las personas y sus gustos, etc.: Portando una etiqueta RFID una persona puede ser observada y clasificada.
  3. Uso de datos para el análisis de comportamientos individuales: Usando la “minería de datos” se definen los perfiles de consumo basado en las preferencias de los clientes.
En cuanto a los riesgos para la seguridad estos son los riesgos que tienen que ver con ataques, o averías que afectan al servicio -interrumpiéndolo, alterándolo, o realizando algún tipo de fraude-, o con la utilización de la tecnología para acceder a información personal de los usuarios del sistema.

Se trata de riesgos derivados de acciones encaminadas a deteriorar o aprovecharse del servicio de forma maliciosa. Se persigue el beneficio económico o un deterioro del servicio prestado. La forma más simple de ataque es evitar la comunicación entre la etiqueta y el lector, pero existen otras, como:
  1. Aislamiento de etiquetas: Impidiendo la comunicación lector-etiqueta, introduciendo la misma en una “jaula de Faraday”, o creando un campo electromagnético que interfiera con el creado por el lector.
  2. Suplantación: Consiste en el envío de información falsa que parece ser válida.
  3. Inserción: Busca la inhabilitación de lectores y otros elementos del sistema mediante la inserción de comandos ejecutables en la memoria de datos de una etiqueta.
  4. Desactivación o destrucción de etiquetas: Consiste en deshabilitar las etiquetas RFID sometiéndolas a un fuerte campo electromagnético, inutilizando el sistema.
  5. Clonación de la tarjeta RFID: A partir de la comunicación entre una etiqueta y el lector, se copian los datos y se replican en otra etiqueta RFID.

Recomendaciones y buenas prácticas

Frente a los riesgos descritos, la Guía incluye varios apartados específicos con recomendaciones y buenas prácticas dirigidas tanto a usuarios -que usan la tecnología RFID en tiendas de ropa como sistema antirrobo, en bibliotecas, o en sistemas de identificación personal, etc.– como a proveedores, para que se asegure su correcta utilización y que se eviten situaciones de riesgo.

Entre estas recomendaciones recogidas en el informe cabe destacar:
  1. Inutilización, desactivación o destrucción de las etiquetas una vez se haya cumplido su misión.
  2. Notificar el uso de RFID.
  3. No almacenar en los tags RFID información personal.
  4. Dar a conocer a los usuarios cuándo, dónde y por qué se va a leer una etiqueta.
  5. Utilización de etiquetas Watchdog: (en inglés “perro guardián”). Estas etiquetas informan de intentos de lectura y escritura que se hagan en su área de actuación.
  6. Ofrecer al usuario facilidades para la retirada, destrucción o desactivación de los dispositivos asociados a productos cuando va a abandonar las instalaciones.
  7. Cifrado: Impidiendo que las partes no autorizadas puedan entender la información enviada utilizando técnicas de cifrado de la información.
  8. Autenticación: Evitando así la falsificación de lectores o etiquetas, debiendo introducirse una clave secreta para validar la comunicación lector-etiqueta.
Llamamiento del Parlamento Europeo

El informe publicado hoy se suma al reciente llamamiento realizado el pasado mes de junio por el Parlamento Europeo (PE) para garantizar la privacidad y la protección de los datos ante el uso de estas tecnologías. El PE hacía este llamamiento mediante la aprobación de un informe en el que se sostiene, entre otras cuestiones, la necesidad de establecer un marco jurídico europeo que garantice la privacidad de los ciudadanos en este ámbito, y que los consumidores tengan derecho al silencio de los chips, es decir, "a interrumpir en cualquier momento la conexión de los chips”.

(PDF 2,75 MB)
Labels:

Comentarios

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.

Entradas populares de este blog

¿Qué estás poniendo bajo la firma de tu mail?

Un comentario de ayer en el blog sobre sanciones LOPD me recordó un tema que hace tiempo quería comentar: esos curiosos avisos supuestamente legales tan frecuentes al pie de los correos electrónicos, con más tendencia al barroquismo y la extravagancia cuanto más grande es la empresa que lo envía. Se trata de una sanción de 1.200€ a una librería, que aunque incluía en sus correos un enlace a la Política de Privacidad en su web, la Agencia Española de Protección de Datos (AEPD) determinó que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información. La historia completa en Cuestión de detalles. Comenta Alejandro , de Esal Consultore...
25 comentarios
Seguir leyendo

12º evento Euskal Valley sobre seguridad y privacidad en Internet.

Ayer jueves se celebró el 12º evento Euskal Valley (#EVEV12) centrado en la temática seguridad y privacidad en Internet. Por la parte de proyectos emprendedores se presentaron  Luis Ángel Del Valle  de SealPath  (solución para proteger y gestionar documentos), así como  Iker Hernández de Enigmedia  (protección de comunicaciones). Posteriormente Mikel García Larragán  presentó la actividad de la asociación Pribatua  mientras yo mismo cerraba con una exposición sobre la controvertida "ley de cookies". Beatriz López ha hecho un estupendo resumen en su blog Mis ideas 2.0 . El evento se celebró en el Espacio “Bizkaia Creativa” en BEAZ Bilbao . La "ley de cookies" from MarketingPositivo
Publicar un comentario
Seguir leyendo

Contacto Google My Business 2021: teléfono, email, chat

ACTUALIZADO septiembre 2021 Para los dueños de negocios que quieren gestionar sus fichas en Google My Business o Mi Negocio y optimizar su presencia en Google Maps resulta frustrante comprobar como Google va cambiando y escondiendo cada vez mas los métodos de contacto directo con su servicio de ayuda. En este artículo repasamos los métodos válidos en 2021 para contactar con Google por teléfono, email o chat. El problema cada vez mas es que aunque, como vamos a ver a continuación, aún hay métodos indicados por Google para contactar con su equipo, lo cierto es que en los últimos meses cada vez se tarda mas en recibir respuesta tras solicitar el contacto y se reportan incluso casos en los que sencillamente la llamada nunca se produce. Por si acaso, detallamos las diferentes maneras que hemos encontrado de llegar al formulario de petición de llamada. De todas formas, si es esa tu situación, y como dueño de un negocio quieres centrarte en lo tuyo, recuerda que puedes solicitar nuestros ...
1 comentario
Seguir leyendo

Cinco claves para el éxito en telemarketing

No es fácil tener éxito usando el teléfono comercialmente, son muchos los profesionales que se queman en el intento. En especial has de saber que las primeras llamadas casi nunca funcionan, vas a tener que persistir y persistir, llamar y volver a llamar, y oír tantas veces "no" que en ocasiones parecerá insoportable. Algunos comerciales odian el teléfono y huyen de hacer llamadas en frío. Pero hay ciertas claves que bien entendidas pueden ayudar la éxito del telemarketing 1. Vas a oir NO. Muchas veces. Tus contactos reciben decenas de llamadas de vendedores y no tienen forma de saber quienes pueden ofrecerles alguna oferta de valor y quienes son charlatanes roba tiempo, y por tanto optan por aplicar una regla general: dicen NO. Por sistema. Pero no es grave. No te lo han dicho a ti en concreto ni se trata de una objeción irrebatible sobre tu producto o servicio. De hecho es el mismo NO que han soltado en las conversaciones anteriores. Se trata simplemente de una ba...
Publicar un comentario
Seguir leyendo

¿Soluciones "a coste cero"?: empecemos a poner un poco de orden

Importantísimo artículo publicado ayer en El Mundo (otro documento imprescindible a partir de ahora en la carpeta de cualquier consultor, pincha la imagen para verlo más grande) denunciando el mal uso de los fondos para formación de trabajadores con el fin de enmascarar la prestación de servicios de consultoría en protección de datos: La protección de datos se financia con el Forcem. La antigua Forcem, ahora denominada Fundación Tripartita para la Formación en el Empleo, vuelve a estar en entredicho y otra vez es por el uso de los fondos destinados a la formación de trabajadores que gestiona. Empresas dedicadas a la implantación de la protección de datos están utilizando los recursos destinados a cursos de formación como reclamo para pagar sus servicios, en los que la formación únicamente sirve en ocasiones sólo para encubrir la financiación de los recursos. Es lo que ellos denominan la adaptación a la Ley Orgánica de Protección de Datos (LOPD) "a coste cero" en algunos anun...
70 comentarios
Seguir leyendo