Robo de identidad inalámbrico

El robo de identidad inalámbrico , también conocido como robo de identidad sin contacto o robo de identidad RFID , es una forma de robo de identidad descrito como "el acto de comprometer la información de identificación personal de un individuo utilizando mecanismos inalámbricos ( radiofrecuencia )". ^[1] Se han escrito numerosos artículos sobre el robo de identidad inalámbrico y la televisión abierta ha producido varias investigaciones de este fenómeno. ^{[2] [3] [4]} Según Marc Rotenberg del Electronic Privacy Information Center , el robo de identidad inalámbrico es un problema grave ya que el diseño de la tarjeta sin contacto (inalámbrica) es inherentemente defectuoso, lo que aumenta la vulnerabilidad a los ataques. ^[5]

Descripción general

El robo de identidad inalámbrico es una técnica relativamente nueva para recopilar información personal de personas a partir de tarjetas con tecnología RF que llevan consigo las personas en sus tarjetas de control de acceso , de crédito, de débito o de identificación emitidas por el gobierno. ^[6] Cada una de estas tarjetas lleva un chip de identificación por radiofrecuencia que responde a ciertas frecuencias de radio. Cuando estas "etiquetas" entran en contacto con ondas de radio, responden con una señal ligeramente alterada. La respuesta puede contener información de identificación personal codificada, incluido el nombre del titular de la tarjeta, su dirección, su número de seguro social, su número de teléfono y la información pertinente sobre su cuenta o empleado. ^[7]

Al capturar (o "recolectar") estos datos, se pueden programar otras tarjetas para que respondan de manera idéntica ("clonación"). Existen muchos sitios web dedicados a enseñar a la gente cómo hacer esto, además de proporcionar el equipo y el software necesarios. ^{[8] [9]}

El complejo industrial financiero está abandonando ^{el uso de bandas magnéticas en tarjetas de débito} y crédito, que técnicamente requieren pasar la tarjeta por un lector de tarjetas magnéticas. Se puede aumentar la cantidad de transacciones por minuto y procesar más transacciones en menos tiempo, lo que hace que las colas en la caja sean posiblemente más cortas. ^[10]

Controversias

Los investigadores académicos y los piratas informáticos de sombrero blanco han analizado y documentado el robo encubierto de información de tarjetas de crédito RFID y se han encontrado con denegaciones y críticas de las agencias emisoras de tarjetas RFID. ^{[1] [11]} Sin embargo, después de la divulgación pública de información que podría ser robada por detectores improvisados ​​de bajo costo que se usaban para escanear tarjetas en sobres de correo (y en otros estudios también incluso mediante ataques de datos drive-by), el diseño de las características de seguridad en varias tarjetas se actualizó para eliminar los nombres de los propietarios de las tarjetas y otros datos. ^{[1] [11]} Además, una serie de diseños de tarjetas completamente sin cifrar se convirtieron a sistemas de datos cifrados. ^{[1] [11]}

Informe de RSA

Las cuestiones planteadas en un informe de 2006 eran importantes debido a las decenas de millones de tarjetas que ya se habían emitido. ^{[1] [11] Los datos de las tarjetas} de crédito y débito se podían robar a través de escáneres de radio especiales de bajo coste sin necesidad de tocar físicamente las tarjetas ni sacarlas del bolsillo, la cartera o el bolso del propietario. ^{[1] [11]} Entre los hallazgos del estudio de investigación de 2006 "Vulnerabilidades en las tarjetas de crédito habilitadas con RFID de primera generación", y en los informes de otros piratas informáticos de sombrero blanco:

• Algunas tarjetas de crédito escaneadas revelaron los nombres de sus propietarios, los números de tarjeta y las fechas de vencimiento; ^{[1] [11]}
• que la corta distancia máxima de escaneo de las tarjetas y etiquetas (normalmente medida en pulgadas o centímetros) podría ampliarse a varios pies mediante modificaciones tecnológicas; ^{[1] [11]}
• que incluso sin tecnologías de extensión de rango, los Black Hatters que caminan por lugares llenos de gente o reparten volantes podrían capturar fácilmente datos de tarjetas de otras personas y de sobres de correo; ^{[1] [11]}
• que los expertos en seguridad que revisaron los resultados del estudio se sorprendieron por las violaciones de la privacidad del estudio (realizado en 2006); ^{[1] [11]}
• que otros sistemas electrónicos, como el dispositivo de pago con llavero Speedpass de ExxonMobil , utilizaban métodos de cifrado débiles que podrían verse comprometidos con aproximadamente media hora de tiempo de computación; ^{[1] [11]}
• que los datos robados escaneados de algunas tarjetas arrojaron rápidamente números de tarjetas de crédito reales y no utilizaron tokens de datos; ^{[1] [11]}
• que los datos obtenidos ilícitamente de algunas tarjetas se utilizaron con éxito para engañar a un lector de tarjetas comercial habitual (utilizado por el grupo de estudio) para que aceptara transacciones de compra de una tienda en línea que no requería la introducción de los códigos de validación de las tarjetas; ^{[1] [11]}
• que si bien se han desarrollado y continúan desarrollándose sistemas de seguridad de nivel superior, y están disponibles para tarjetas de crédito RFID, son sólo los propios bancos los que deciden cuánta seguridad quieren implementar para sus titulares de tarjetas; ^{[1] [11]}
• que cada una de las 20 tarjetas probadas en el estudio fue derrotada por al menos uno de los ataques que desplegaron los investigadores; ^{[1] [11]}
• Otra amenaza de seguridad relacionada con el tema se refería a un producto diferente: los nuevos pasaportes electrónicos emitidos por el gobierno ( pasaportes que ahora incorporan etiquetas RFID similares a las tarjetas de crédito y débito). Las etiquetas RFID en los pasaportes electrónicos también están sujetas a robo de datos y ataques de clonación. ^[1] El gobierno de los Estados Unidos ha estado emitiendo pasaportes electrónicos desde 2006. ^{[5] [11]}

En un tema relacionado, los grupos de privacidad y los individuos también han planteado preocupaciones de " Gran Hermano ", donde existe una amenaza para los individuos a partir de su información agregada e incluso el seguimiento de sus movimientos por parte de agencias emisoras de tarjetas, otras entidades de terceros e incluso por los gobiernos. ^[12] Los observadores de la industria han declarado que " ... RFID ciertamente tiene el potencial de ser la tecnología de consumo más invasiva de la historia " . ^[12]

Las agencias emisoras de tarjetas de crédito han emitido declaraciones de negación respecto del robo o fraude de identidad a través de servicios inalámbricos y han proporcionado información de marketing que critica directamente o implica que:

• Más allá de los propios datos de la tarjeta, existen otras medidas de protección de datos y antifraude en sus sistemas de pago para proteger a los consumidores; ^[11]
• El estudio académico realizado en 2006 utilizó una muestra de sólo 20 tarjetas RFID y no fue representativo con precisión del mercado general de RFID, que generalmente utilizaba una seguridad mayor que las tarjetas probadas; ^[11]
• La información de texto simple sin cifrar en las tarjetas era "...básicamente inútil" (por sí misma), ya que las transacciones financieras estaban vinculadas a sistemas de verificación utilizados con potentes tecnologías de cifrado; ^[11]
• Incluso si los consumidores fueran víctimas de fraude con tarjetas de crédito RFID o de robo de identidad, no serían financieramente responsables de dicho fraude con tarjetas de crédito ^[11] (una estrategia de marketing que ignora las otras consecuencias graves para los titulares de tarjetas después de haber sido asociados con transacciones fraudulentas o haber sufrido el robo de su identidad ); ^{[ cita requerida ]}

Tras la publicación de los resultados del estudio, todas las compañías de tarjetas de crédito contactadas durante el informe de investigación del New York Times dijeron que estaban eliminando los nombres de los titulares de las tarjetas de los datos que se transmitían con sus nuevas tarjetas RFID de segunda generación. ^{[5] [11]}

Documentos de identificación estadounidenses comprometidos

Ciertos documentos de identificación oficiales emitidos por el gobierno de los EE. UU., pasaportes estadounidenses , tarjetas de pasaporte y también licencias de conducir mejoradas emitidas por los estados de Nueva York y Washington, contienen chips RFID con el propósito de ayudar a quienes vigilan la frontera de los EE. UU. ^[13] Se han identificado varios problemas de seguridad con su uso, incluida la capacidad de los sombreros negros de recolectar sus números de identificación a distancia y aplicarlos a documentos y tarjetas falsificados en blanco, asumiendo así los identificadores de esas personas. ^[13]

Se han identificado varios problemas y posibles problemas con su uso, incluidas las preocupaciones por la privacidad. Aunque se supone que el número de identificación RFID asociado a cada documento no incluye información de identificación personal, "... los números evolucionan con el tiempo, y los usos evolucionan con el tiempo, y eventualmente estas cosas pueden revelar más información de la que esperamos inicialmente", afirmó Tadayoshi Kohno, profesor adjunto de informática en la Universidad de Washington , que participó en un estudio de dichos documentos emitidos por el gobierno. ^[13]

Véase también

• Robo de identidad
• RFID
• HID Global
• Fraude con tarjetas de crédito

Referencias

1. Heydt-Benjamin, Thomas S; Bailey, Daniel V; Fu, Keven E; Juels, Ari; O'Hare, Tom (22 de octubre de 2006), Vulnerabilidades en tarjetas de crédito con RFID de primera generación (PDF) (borrador del estudio), Amherst, MA; Bedford, MA; Salem, MA: Universidad de Massachusetts; RSA Laboratories; Innealta , consultado el 14 de marzo de 2009.
2. Newitz, Annalee (mayo de 2006), "El submundo del hackeo RFID", Wired , vol. 14, núm. 5.
3. Fénix, KPHO-5^{[ enlace muerto permanente ‍]} .
4. Vídeo, Austin: KVUE-24, archivado desde el original el 27 de octubre de 2008 , consultado el 25 de mayo de 2008
5. Weston, Liz Pulliam (2007-12-21), "Las nuevas tarjetas de crédito permiten el robo con manos libres", Money central , MSN, archivado desde el original el 2011-04-30 , consultado el 2009-03-14.
6. Declaración de posición sobre el uso de RFID en productos de consumo, Electronic Frontier Foundation.
7. Mansouri, Djamel (agosto de 2017). "Método de detección dinámico y adaptativo para inundaciones en redes de sensores inalámbricos". Revista internacional de sistemas de comunicación . 30 (12): e3265. doi :10.1002/dac.3265. S2CID  28210742.
8. "RFIDIOt.org - Herramientas RFID IO". 2023-11-14. Archivado desde el original el 2023-11-14 . Consultado el 2023-11-14 .
9. RFID, Texas Instruments, archivado desde el original el 16 de agosto de 2013 , consultado el 25 de mayo de 2008.
10. "Micro tag", Paywave , EE. UU .: Visa, archivado desde el original el 29 de marzo de 2009 , consultado el 12 de abril de 2009.
11. Schwartz, John (23 de octubre de 2006), "Los investigadores ven problemas de privacidad en las tarjetas de crédito sin deslizamiento", The New York Times.
12. Booth-Thomas, Cathy; Barnes, Steve; Cray, Dan; Estulin, Chaim; Israely, Jeff; Mustafa, Nadia; Schwartz, David; Thornburgh, Nathan (22 de septiembre de 2003), "The See-It-All Chip", Time , archivado desde el original el 7 de marzo de 2008.
13. Naone, Erica (diciembre de 2008), Identificación: el problema de seguridad de la RFID: ¿Son realmente seguras las tarjetas de pasaporte de EE. UU. y las nuevas licencias de conducir estatales con RFID? , Technology Review , MIT.

Lectura adicional

• Gannsle, Daniel J (diciembre de 2008), "Cómo protegerse del robo de identidad mediante RFID de alta tecnología", Cómo hacer casi todo.
• Herrigel, Alexander; Zhao, Jian (9 de febrero de 2006), van Renesse, Rudolf L (ed.), "Robo de identidad RFID y contramedidas, seguridad óptica y técnicas de disuasión de falsificaciones VI", Actas del SPIE , 6075 (6075), Harvard: 366–379, Bibcode :2006SPIE.6075..366H, doi :10.1117/12.643310, S2CID  62157071.
• Markoff, John (15 de marzo de 2006), "Estudio dice que los chips en las etiquetas de identificación son vulnerables a los virus", The New York Times , consultado el 14 de marzo de 2009(sobre cómo etiquetas RFID deliberadamente corruptas podrían introducir virus en los sistemas informáticos).
• Seltzer, Larry (20 de febrero de 2009), "Exponiendo el mito de la seguridad de las tarjetas de pasaporte", eWeek , consultado el 14 de marzo de 2009.