InfoSecMan Blog

Siempre que hablamos de firewalls personales, pensamos y nos referimos a las utilidades software que habitualmente instalamos en nuestros equipos personales (ordenadores) para evitar intrusiones, filtrar conexiones, etc. pero hoy voy a hablar aquí de otro tipo de firewalls personales que lo que realmente hacen no es proteger nuestros equipos personales, sino  nuestra propia persona (o los datos que podemos tener… y en algunos casos no sabemos).

Poco a poco se va haciendo más conocida la tecnología RFID y se va implantando en soluciones de muy variado tipo (cadenas de suministros, pagos automáticos, control de acceso físico, casas “inteligentes”, etc.). De forma muy general (no entraré en detalles, que me perdonen los expertos) esta tecnología se basa en la existencia de “RFID tags” y “lectores RFID”. Los lectores lanzan consultas a los tags a las que estos responden con la información que llevan almacenada (<1024 bits). En la siguiente figura podéis ver un tag RFID (seguramente ya habréis visto alguno en algún producto que habéis comprado, verdad?).

¿Aplicaciones? Muchísimas. Por ejemplo en almacenes, grandes superficies, etc. Se le pone una “pegatina” (un tag) a un producto y con los lectores podemos saber en todo momento dónde está situado, la cantidad que existe, etc.

Si os paráis a pensar un poquito en esta tecnología, pronto os daréis cuenta de las enormes posibilidades que tiene y de lo mucho que puede afectar a la privacidad de la persona (y a su seguridad), especialmente si tenemos en cuenta que los tags son extremadamente sencillos en su diseño y por tanto incorporan muy pocas o ninguna medida de seguridad (cualquier con cierta intencionalidad podría leer el contenido de la información contenida en los mismos o por ejemplo, activar un explosivo al paso de una determinada persona que tuviese adherido uno de esos tags…).

En diversos foros ya se está discutiendo mucho de la invasión en la privacidad que esto supone, de si se debería advertir de la existencia de estos dispositivos en productos que compramos, etc.

¿Qué hacer ante esto? En una universidad de Holanda unos investigadores han desarrollado un “Firewall Personal”… en realidad es un “Firewall RFID Personal” De nuevo, de forma general, su funcionamiento se basa en que gestiona los tags que la persona tenga en su proximidad (vamos a decir, con “visibilidad” o “cobertura”) y actúa como un lector RFID. Interroga esos tags y es capaz de emular a esos mismos tags enviando información arbitraria a un eventual lector que estuviese intentando leerlos (es decir, se pone “en medio”, interceptando y modificando esa información).

El producto se llama RFID Guardian, es pequeño, ”portátil” y podéis obtener más información sobre el mismo en su página web.

Como nota final, comentaros que NIST ha publicado recientemente (hace un par de semanas) unas guías con recomendaciones sobre medidas de seguridad en RFID, entre las que destacan la utilización de un firewall para separar las bases de datos RFID de otros sistemas IT, la encriptación de las señales de radio, la autenticación de usuarios o la utilización de campos o barreras de metal para prevenir la “fuga de datos”

Desde el punto de vista personal, yo añadiría una característica adicional al “Firewall Personal” para evitar el reconocimiento de datos físicos…