Español | English
rss facebook linkedin Twitter

Huellas digitales en pasaportes RFID alemanes

A partir del día 1 de noviembre de 2007, como pioneros de lo que está por venir en 2009, todas las oficinas alemanas de registro comenzaron a guardar las huellas dactilares de los cuidadanos que quieran viajar. Esto sucede justo dos años después de empezar a almacenar su imagen facial y datos de filiación en un chip RFID contenido en los pasaportes electrónicos (recordar que el pasaporte biométrico posee una capacidad de memoria de 32Kb ó 64Kb, y sólo una pequeña parte está siendo utilizada en la actualidad). Sin embargo, el grupo alemán de hackers "Chaos Computer Club" (CCC) señala que los pasaportes biométricos con estos datos llevan inherentes riesgos colaterales aun mayores que antes, que por ejemplo afectan a los ciudadanos alemanes de mayor edad.

Más del 10% de las personas mayores no tienen huellas dactilares lo suficientemente marcadas como para ser registradas y empleadas con éxito en un sistema de reconocimiento dactilar, y esto puede suponer un problema a la hora de almacenar esta información en las oficinas de registro. Además, esto supondrá una discriminación, unas inspecciones más rigurosas y un mayor tiempo de espera en los procesos de validación del pasaporte en los controles policiales aduaneros. Aparte de las personas mayores, las personas que trabajen mucho con sus manos tendrán los mismos problemas.

Incluso el gobierno alemán está de acuerdo en que intoducir la información de las huellas dactilares en los pasaportes biométricos no supone una mejora apreciable en la seguridad de los mismos, acarreando más problemas que ventajas. Aun así, se ha establecido que a partir de 2009 será obligatorio expedir pasaportes biométricos que incluyan el registro de huellas dactilares (los diplomáticos sin embargo no tienen pasaportes biométricos, curioso cuanto menos).

Paralelamente al problema de gestión que supone la introducción de información biométrica de este tipo en los pasaportes, se añade el riesgo de poder clonar o hacer uso ilegítimo de la misma, ya que los mecanismos de seguridad de estos documentos (ficheros firmados pero no cifrados), como se ha visto en estos dos años, son muy débiles. La culpa de esta situación la tienen los paises, que optan por la vía fácil de implementar el "Basic Access Control" (BAC) con claves extrapoladas de la "Machine Readable Zone" (MRZ, zona del pasaporte legible por máquinas mediante OCR), en lugar del "Extended Access Control" (EAC) basado en claves públicas de paises para la autenticación de los documentos.

La Organización Internacional de Aviación Civil (ICAO) optó en el momento de definir el estándar por almacenar una imágen digital de las huellas, en lugar de almacenar sus puntos de minucia (vectores que identifican de manera unívoca las características de una huella digital). Esto implica que una vez extraida esta información, como un fichero adicional contenido en el pasaporte, es posible imprimirla y generar una réplica en un molde, tal y como se ha hecho en una prueba de concepto en las instalaciones de S21sec labs. Este valiosísimo recurso supone un enorme peligro para el propietario de la huella, ya que con ella una persona con malas intenciones puede impersonarle en multitud de escenarios.

Ya se verá si el resto de paises, bajo las recomendaciones de la ICAO, deciden introducir la información de las huellas en sus respectivos pasaportes electrónicos de una forma más segura, o se empieza a usar EAC en los pasaportes electrónicos. Por lo pronto España tiene pensado incluir las huellas de ambos dedos índices en 2009, fecha tope para ello. Con tanta información personal disponible por el aire, ya será casi obligatorio el uso de las carteras antiRFID.

Álvaro Ramón
S21sec labs

2 comentarios:

Anónimo dijo...

Al menos en España para el DNIe no utilizaron tecnología RFID. ¿Por qué la utilizarán entonces para el pasaporte conociendo las debilidades que conlleva?

S21sec labs dijo...

Los proyectos de DNI-e y pasaporte biométrico tienen orígenes completamente distintos, naciendo el primero de una necesidad de la Dirección General de la Policía (en colaboración con Indra y otras empresas del sector) enmarcado en un impúlso de progreso tecnológico para España. El segundo, a pesar de nacer en fechas similares, proviene de la ICAO, organización internacional para asuntos de aviación, ante la necesidad de dotar de una teórica mayor robustez y seguridad a los pasaportes. Sin embargo, dado el alto flujo de personas que diáriamente cruzan las fronteras de los países, se hizo necesaria una tecnología inalámbrica en la que bastara un acercamiento del documento al lector, sin la necesidad de insertarlo en ningún sitio concreto. Además, debido al formato de libro, resultaba muy complejo poder integrar una SmartCard, y transformarlo en una tarjeta tamaño ISO7816 con visados electrónicos suponía algo demasiado revolucionario como para poder de la noche a la mañana implantarlo en todos los países. De esta forma, se optó por esta solución de compromiso, a pesar de que la ICAO no puso el mismo empeño que la DGP en la seguridad del mismo.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login