El pasaporte biométrico holandés fue craqueado hace meses

Nadie sabe lo que me pesa no haberme equivocado en mis predicciones de hace un par de años, de verdad es que lo siento y mucho. Reitero que cada tecnología tiene su nicho y hay nichos demasiado serios como para aceptar determinadas tecnologías o incluso, para aceptar cualquier tecnología, por buena que nos parezca.

Tecnologías que nos parecen seguras sobre el papel, se pueden volver en contra y acabar siendo un problema mayor que el que se pensaba que podrían solventar de forma definitiva.

¿Qué consecuencias puede tener para un nacional de un país, que se conozcan determinados datos de él, sin que él se entere y a 10 metros de distancia? ¿Qué implicaciones puede tener para la seguridad de instituciones y empresas, que se puedan clonar con toda facilidad y a distancia, las "incopiables" tarjetas e acceso RFID?. Por favor, pensad en el escenario o en varios escenarios. Personalmente me puedo imaginar algunos muy aterradores. Por supuesto, sin contar con el enorme coste que tienen estos sistemas que ahora no sirven nada más que para crearnos más problemas.

Hace poco me decían... vale, ha fallado el sistema RFID, no lo teníamos previsto, pero no importa, pondremos una clave y un teclado además de la tarjeta RFID. ¿No se dan cuenta de que la seguridad recae entonces en una simple y llana contraseña de 4 dígitos?... vaya, eso es un upgrade tecnológico de narices ¿para qué quiero entonces la maldita tarjeta RFID con el dinero que nos ha costado?.

Supongo que nadie sacará a colación en esta ocasión que el pasaporte cumplía con Common Criteria en sus más altas calificaciones y con otras normas de seguridad internacionales y que además, tenía el visto bueno de la Agencia nacional X, es decir, que siempre ha estado en manos de auténticos profesionales. Me recuerda el accidente del Challenger, la autocomplacencia de los ingenieros, llevaron a otros ingenieros a cambiar su opinión, provocando así el desastre.

Señores hay que ser más serios, mucho más serios y no dejarse llevar por cantos de sirena y por presuntas bondades. Como ya he dicho, la tecnología no es neutral, no lo puede ser nunca y por definición, afecta a nuestra seguridad, a nuestra privacidad a nuestro bienestar y a nuestra libertad. Si permitimos que entre en nuestras vidas una tecnología poco adecuada para el uso que se le pensamos dar, o simplemente, si permitimos que entre más de lo que debería, en lugar de ganar, saldremos perdiendo y mucho más de lo que pensamos.

Y no nos engañemos, hay que agradecer a los que logran romper estos "infranqueables" y modernos sistemas de seguridad, que nos digan con luz y taquígrafos, que no son tan seguros como nos dicen sus fabricantes. Si alguien los rompe y no lo dice, o peor, si los rompe y simplemente lo explota en su beneficio sin decir nada a nadie, tendremos problemas mucho peores que el derivado del de tener que tirar el pasaporte a la basura.

Seguro que a la vista de esto, habrá algún "iluminado" que piense, que lo que hay que hacer es castigar en el Código Penal la realización de este tipo de investigaciones.... es decir, blindar el fallo y alejar a la mente inquieta del dispositivo con el papel y letras de molde... Papel, piedra o tijera... el papel siempre sale perdiendo ¿no?, está claro que ese no es el sistema o hay seguridad intrínseca y absoluta o no hacemos nada y eso hoy por hoy no se puede lograr.

De nuevo dicen las autoridades holandesas que lo mejorarán, pero no lo están haciendo hasta el momento, pues pasaría por la sustitución de todos los pasaportes, es decir, por un coste enorme y por un cambio de tecnología, que es posible que no esté disponible en ese momento. Por ello, por arte de magia se mantiene el pasaporte y se entra en la zona de "riesgos calculados". Es evidente que eso no vale, que es algo inadmisible cuando se trata de la seguridad de un pasaporte o de un e-DNI, pero lo están haciendo, como si fuera un riesgo calculado para una simple tarjeta de crédito con límite preestablecido. Señores, eso no vale, no podemos jugar a la ruleta rusa para ver al que le toca la china, no vale que el riesgo sea mínimo, la mera posibilidad ya es un riesgo inasumible.

Al margen de que mi idea es y ha sido la de no implantar este tipo de tecnologías para determinadas aplicaciones y es evidente que esta es una de ellas, lo que es inadmisible a todas luces, es que no se disponga de un plan de contingencia. Aunque algunos se fiaban este fallo como remoto o improbable, otros pensábamos que era posible y al final, acabó por ocurrir y como es lógico, sin nada preparado.

Creo que estos asuntos merecen un poco de nuestra atención y que es necesario que reflexionemos sobre los riesgos que se corren si tecnologías "infalibles" comienzan a fallar de este modo tan grave y desastroso. Los americanos se dieron cuenta de si fallaba el pasaporte digital el riesgo era inasumible y por ello, con buen criterio, decidieron no usar esta tecnología. Lejos de evitar el terrorismo internacional, lo que podría fomentar era el ataque selectivo de sus nacionales en cualquier parte del mundo, que ahora gracias al sistema digital, podrían ser fácilmente identificables, a distancia y sin que ellos lo supieran.

¿que pasará con nuestro e-dni? ¿seguirá el mismo y desastroso camino? ¿vale la pena correr el riesgo? ¿nos impondrán este tipo de pasaporte a pesar de sus problemas demostrados? Las respuestas en breve y por Real Decreto... no se las pierdan.

"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Igual es una parida lo que pregunto porque no estoy muy puesto con el tema pero, toda iniciativa de este tipo con RFID está condenada el fracaso, ¿no? Si cualquiera puede leer el pasaporte a distancia, es necesario encriptar, si se encripta hace falta una clave, y para ser practicable el rango de posibles debe ser pequeño por lo que al final acaba siendo vulnerable.

Todo para ponernos un código de barras a cada uno pero que cante poco.

Hay algo que me preocupa más de un pelín; y es una cosa bien sencilla... de entrada un gobierno con recursos y suficiente nivel tecnológico, puede espiarnos a cualquiera... ver nuestras operaciones bancarias, estudiar las rutinas de nuestras vidas, etc...

Así que el que el eDNI, pasaporte RFID y lo q sea, se lo facilite, pues la verdad, poco me preocupa, pues si el gobierno me va a querer joder, antes o despues lo lograria, pues un individuo contra toda una organización gubernamental poco tiene que hacer...

Lo que si me preocupa esque cualquier mafia tipica, pueda vaciarme la cuenta bancaria leyendo mis datos a distancia con cuatro chips de mis documentos electronicos...

Que pueda desviar cualquier listillo sus multas a mis datos suplantandome, que me pueda comer un marron que no me haya ganado... eso realmente si deberia de preocuparnos a todos...

Y la verdad, como dicen muchos akí, reducir una alta tecnologia de pongamos 1024 bits simétricos, a la altura de 40 bits por proteger los datos importantes con una secuencia de 4 numeritos tipo banco... me parece PATETICO... ¿realmente no se puede hacer algo eficiente y seguro?...

Miedo me da el futuro... aggg

Me veo como el viejete de "ENEMIGO PUBLICO" ahí todo aislado de todo y de todos...

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Trata A La Gente Como Quieras Que Te Traten
Exale Un Vistacillo A Mi Web Y Disfruta
www.dtodo1poco.com/~strapping/

No se por que, estas noticias ya no me sorprenden.

Un agradecimiento a kriptopolis por la informacion.