análisis de una controversia_ rfid
TRANSCRIPT
Controversia: Riesgos para la seguridad y privacidad
ligados a la propagación de los sistemas RFID
Autora: Natalia Gómez González
Proyecto ligado al blog http://analicemos-la-ciencia-y-la-tecnologia.blogspot.com.es/ de la
asignatura Los lenguajes de la ciencia, la tecnología y la naturaleza del tercer curso del grado
en Filosofía de la ULL
Diciembre de 2012
Línea de tiempo – desarrollo histórico
La tecnología RFID surgió, combinando la propagación de señales
electromagnéticas con las técnicas de Radar, en el ámbito militar durante la II
Guerra Mundial para la identificación de elementos (barcos y aviones) amigos o
enemigos (identification friend or foe, IFF), aunque quizás esta no fuera la
denominación más adecuada dado que esta tecnología solo era capaz de
identificar aeronaves de los aliados.
Debieron transcurrir unos treinta años hasta que se produjeron los desarrollos
técnicos necesarios para dar lugar a aplicaciones útiles: el transistor, el circuito
integrado, el microprocesador, desarrollo de redes de comunicaciones y
cambios en la forma de hacer negocios.
Hoy en día, el ámbito de aplicación de esta tecnología se ha extendido a áreas
más mercantiles. Las primeras aplicaciones comerciales de RFID aparecieron a
finales de la década de los 60, cuando varias compañías desarrollaron métodos
para evitar el robo de artículos en las tiendas (EAS, Electronic Article
Surveillance) mediante etiquetas que almacenaban solo 1 bit. La simple
presencia o ausencia de la misma era suficiente para detectar la señal al pasar
por un arco detector situado en la puerta.
La patente estadounidense de Mario Cardullo (patente 3.713.148) en 1973 de
un transpondedor de radio pasivo con memoria es el primer verdadero
antecedente de las modernas RFID. Sin embargo, la primera patente asociada
realmente con las RFID fue la patente estadounidense 4.384.288 de Charles
Walton en 1983.
En los años siguientes se produjeron tales cambios en esta tecnología que la
diferenciaron de forma irreconocible de sus predecesores. El desarrollo de las
etiquetas RFID continuó debido en gran medida a las demandas del
Departamento de Defensa de EE.UU., quien requería este tipo de tecnología
para el seguimiento del material nuclear. Esto hizo que se introdujeran unas
pasarelas automáticas que respondían a transmisores colocados en los
camiones. Otro importante desarrollo fue el etiquetado de animales, que
requirió un gran uso de este tipo de etiquetas.
Con el paso de los años, se han demandado varias bandas de frecuencias para
el uso de RFID que abarcan desde la baja frecuencia (LF) a frecuencias ultra
altas (UHF).
La reducción en el tamaño de los etiquetas y, sobre todo, el descenso en los
costes de producción, tanto de las etiquetas como de los lectores, que se ha
producido en los últimos años han hecho que las empresas comiencen a
considerar mucho más en serio el uso de la tecnología RFID.
Actualmente, el desarrollo de esta tecnología se encuentra en un punto que
permite su implementación a gran escala, de hecho, las etiquetas RFID se
emplean ya en diversas industrias y organizaciones de todo el mundo.
Análisis de la controversia: actores humanos y no humanos
Fig. 1: Resumen de los principales actores humanos y no humanos.
1. Actores no humanos
1.1. Tecnología RFID
¿Qué son los sistemas o etiquetas RFID?
La tecnología de identificación por radio frecuencia, conocida por sus siglas en
inglés RFID (Radio Frequency Identification Device), o también denominada
DSRC (Dedicated Short Range Communicactions), permite la transmisión
inalámbrica de datos y, con ello, la identificación automatizada de objetos y
personas.
Los sistemas RFID generalmente están compuestos por tres elementos: una
etiqueta, un lector y un servidor en el que se ejecuta el software para
procesarlos datos y transformarlos en información útil.
1) Las etiquetas. También conocidas como ‘transpondedores’, son
pequeños dispositivos de transmisión y recepción radioeléctrica compuestos
por un pequeño microchip (del tamaño de un grano de arena (0,4 mm2) con
un pequeño transceptor radioeléctrico y una memoria en la que es posible
almacenar información), el cual va unido a una antena de radiofrecuencia
formando una especie de pegatina o etiqueta adhesiva que se adhiere a
objetos, animales o personas que deben ser identificados o rastreados /
seguidos.
Fig. 2: Componentes de una etiqueta RFID
Las etiquetas, gracias a las antenas que incorporan, pueden ser leídas y/o
modificadas a distancia y sin contacto o línea de visión directa, a través del
aire vía ondas de radiofrecuencia, utilizando un dispositivo lector ya que son
capaces de responder con la información almacenada si se las estimula con
una radiación electromagnética adecuada.
En función de sus frecuencias de operación, que determinan el alcance y la
velocidad de transferencia de datos, las etiquetas se clasifican en tres tipos:
a. frecuencia baja (LF): (entre 100 y 500 kHz) los sistemas tienen
alcance limitado y su coste es reducido, utilizándose, por ejemplo,
para identificación de objetos (inventarios)
b. frecuencia intermedia (HF): (13,5 MHz) pueden leerse desde
mayores distancias, pero requieren un mayor suministro de
energía. Se utilizan principalmente para control de accesos y EAS,
c. frecuencia alta (UHF): los sistemas de alta frecuencia UHF (450 a
900 MHz) y microondas (2,4 GHz a 5,9 GHz) ofrecen un mayor
alcance (superior a 10 metros) y mayor velocidad de lectura
(hasta de 2 Mbit/s), pero a consecuencia de mayores costos y de
necesitar de una línea de visión directa. Sus aplicaciones típicas
son en los sistemas automáticos de peaje o telepeaje en
autopistas, sin que el vehículo se tenga que detener, simplemente
hace falta que reduzca su velocidad
En función de su autonomía o tipo de alimentación, pueden ser clasificadas
en diferentes formas:
a. activas: usan las propias baterías que llevan incorporadas, por lo
que su tamaño es mayor, no obstante, esto les permite poder
transmitir continuamente sus datos. Esta información podrá ser
capturada posteriormente por un lector cuando la etiqueta se
encuentre dentro de su radio de alcance. Su radio de alcance
puede ser superior a 10 m.
Fig. 3: Etiqueta RFID activa
b. pasivas: no incluyen una batería u otra fuente de alimentación
sino un circuito de resonancia capaz de captar la energía recibida
de la antena del lector para transmitir sus datos. Suelen tener un
radio de alcance de hasta 3 metros.
Fig. 4: Etiqueta RFID pasiva
La consecuencia directa de ello es que las etiquetas pasivas son
muy baratas (en torno a 0,1 €) y más pequeñas; tienen un menor
alcance de lectura, pero también una vida útil teóricamente
indefinida (pueden durar hasta 30 años, frente a los no más de
10 que dura una activa).
En función de sus prestaciones, pueden clasificarse del siguiente modo:
a. solo lectura. Constan de una memoria ROM, cuya capacidad no
supera los 128 bits, y son programadas, ya sea durante su
fabricación o antes de su primer uso, con un código de
identificación único que no puede ser modificado posteriormente.
Estas etiquetas identifican un registro en una base de datos
describiendo el objeto etiquetado.
b. lectura y escritura. Están formadas normalmente por una
memoria EEPROM, no volátil, con mayor capacidad (entre 512 bits
y 1 MB) que permite modificar la información o añadir nueva
información a una etiqueta programada. Una aplicación de estas
etiquetas es, por ejemplo, en las cadenas de montaje de
automóviles, donde la etiqueta cuenta con un código que se va
actualizado cada vez que se realiza alguna operación, para
identificar el estado actual del vehículo en la cadena.
Fig. 5: Varios tipos de etiquetas RFID
2) Los lectores. Pueden ser unidades fijas o móviles que se utilizan para
interrogar a las etiquetas. Los lectores emiten una señal de radio con
una determinada frecuencia que es recibida por todas las etiquetas
(pasivas) que se encuentren sintonizadas a esa frecuencia en el radio de
alcance del lector. Las etiquetas reciben la señal de radio a través de sus
antenas y, en menos de 100 ms, responden transmitiendo los datos
almacenados en su microchip.
Fig. 6: Lector de RFID móvil
Con ello, la comunicación entre la etiqueta y el lector puede producirse
sin que se coloque la etiqueta en la línea de visión del lector, como es
necesario con los códigos de barras. La antena del lector emite ondas de
radio con un rango de alcance desde 2 cm hasta 30 metros o más,
dependiendo de su frecuencia y de la potencia y estas ondas de radio
pueden atravesar diversos objetos, incluidas piedras, paredes de
ladrillo, etc.
3) Los servidores. Los datos recibidos por los lectores se transmiten a un
software, también denominado ‘middleware’ o ‘back-end’, que procesa
los datos. Asimismo, los programadores se encargan de realizar la
escritura de información sobre la etiqueta RFID, es decir, codifican la
información en un microchip situado dentro de una etiqueta RFID. La
programación de las etiquetas se realiza una única vez si las etiquetas
son de solo lectura, o varias veces si son de lectura-escritura.
Fig. 7: Funcionamiento de un sistema RFID
Fig. 8: Esquema resumen - componentes de los sistemas RFID
Aplicaciones de los sistemas RFID
La tecnología RFID se emplea en diversos ámbitos y para diferentes fines. El
principal motivo para que una organización emplee esta tecnología es para
permitir la identificación, autentificación, localización o la adquisición
automática de datos.
Identificación: se emplea ampliamente en el sector ganadero para
identificar los distintos animales de una granja. Por ejemplo, se etiqueta a
las ovejas para comprobar dónde se encuentran o cuándo fueron
ordeñadas.
Fig. 9: Etiqueta RFID en animales.
También se emplea tecnología RFID para la identificación electrónica de
mascotas mediante la implantación subcutánea por un veterinario de un
microchip portador de un código numérico único. El código identificativo que
se introduce se corresponde con el de un registro en el que van a figurar los
datos relativos al animal, al propietario, así como los tratamientos
sanitarios.
Fig. 10: Microchip para la identificación de perros.
Autentificación: por ejemplo, en los controles de acceso se emplean tarjetas
de acceso con tecnología RFID que se pasan delante de un lector ubicado en
la puerta para autentificar a la persona con la tarjeta y permitir el acceso.
Asimismo, en muchos países ya se utilizan los pasaportes electrónicos, que
almacenan la información del titular y la fotografía o la huella dactilar en un
chip RFID.
Fig 11: Pasaporte electrónico con tecnología RFID.
Localización: por ejemplo, en parques de atracciones como Legoland
(Dinamarca) se coloca a los niños un brazalete con una tarjeta RFID para
que los padres puedan saber dónde se encuentran en todo momento.
También los dispositivos anti-maltrato que se coloca a los agresores
acusados de violencia de género combinan información GPS con tecnología
RFID para calcular la distancia entre víctima y agresor.
Fig. 12: Brazalete anti-maltrato con tecnología RFID.
Adquisición automática de datos: por ejemplo, en competiciones de
atletismo importantes se coloca a los corredores una etiqueta RFID debajo
de sus zapatos para calcular el tiempo exacto.
Fig. 13: Dispositivo RFID para transmitir los datos del corredor.
También en los sistemas de peaje se utiliza RFID para la adquisición
automática de datos. Los vehículos dotados de sistemas de peaje automático
disponen de etiquetas en el parabrisas o la placa de matrícula y los carriles de
peaje cuentan con un lector RFID que lee las etiquetas de los vehículos y
deduce automáticamente de una cuenta prepago el importe correspondiente.
Fig. 14: Puesto de peaje equipado con tecnología RFID.
Otros ejemplos de uso actuales:
Las aplicaciones actuales de la tecnología RFID son muchas y diversas y las
previsiones apuntan a que crezcan de manera exponencial en los próximos
años. Cualquier entorno en el que la identificación automática, fiable, rápida y
barata pueda aportar beneficios es un candidato adecuado para la aplicación de
la tecnología RFID.
En el día a día encontramos diversos casos de aplicación de esta tecnología,
veamos algunos ejemplos concretos.
En establecimientos minoristas de productos de consumo para
identificar los productos (almacenamiento, precios, etc.) o como medida
de seguridad para detectar un intento de hurto. Permite controlar la
ubicación, el estado, el número y otro tipo de información sobre los
productos sin necesidad de intervención humana, ni tener un acceso
directo a los mismos, incluso cuando estos están en movimiento,
acelerando los procesos de inventario y permitiendo optimizar el stock
así como la reposición de artículos, repercutiendo en mejoras en las
ventas de productos. También permiten evitar el robo de mercancías ya
que, si no han sido desactivadas antes por un empleado, las etiquetas
activan una alarma al pasar por el típico arco detector (bucle inductivo)
que suele haber a la entrada o salida de las tiendas. Otra de sus
posibles aplicaciones sería para efectuar el pago automático de la
mercancía adquirida al pasar por caja si esta dispone de un lector
adecuado.
Fig. 15: Etiqueta RFID para ropa
Control de acceso en sistemas de transporte. La tecnología RFID también
se emplea para el control de acceso y cobro en transportes públicos. Se
incorpora la etiqueta a las tarjetas con los abonos de los usuarios, o para
el control de equipajes.
Fig. 16: Dispositivo RFID en transporte público
Dispositivo antirrobo en llaves de vehículos y para la activación de
vehículos y maquinaria industrial. En este caso, la etiqueta RFID actúa
como control de verificación personal, permitiendo la activación solo en
presencia de dicha etiqueta.
En bibliotecas, para catalogación, ordenación y protección antirrobo de
libros.
En supermercados, para realizar la facturación automática de todo un
carro de productos sin moverlos del mismo. También se usa para el
control de su inmovilizado, compuesto por una cantidad de elementos
repartidos por sus centros de venta, almacenes y oficinas.
Fig. 17: Carrito de supermercado con lector RFID.
En el ámbito sanitario, para el control de medicamentos, seguimiento de
instrumental, identificación de muestras médicas o el seguimiento de
pacientes en centros de salud. Por ejemplo, manteniendo el inventario
de fármacos y bolsas de sangre del hospital controlado en tiempo real,
se evitan errores en las transfusiones o en la administración de fármacos
al paciente que pueden ocasionar graves perjuicios.
Como control de acceso en zonas residenciales, habitaciones de hoteles,
aparcamientos, plantas industriales o entornos que requieran seguridad.
El reconocimiento de la identidad de una persona que quiere acceder a
un determinado lugar se realiza sin contacto físico, mediante ondas de
radio entre un emisor y un receptor a través de una etiqueta.
En correos para la identificación y el seguimiento de los paquetes.
En el ámbito militar. El Departamento de Defensa de EEUU exige a sus
proveedores el uso de la tecnología RFID en la cadena de suministro. En
este sentido, la Fuerza Aérea de Estados Unidos dispone de dispositivos
RFID para la seguridad y rastreo de activos a bordo de todos los aviones
que transportan suministros para el Departamento de Defensa. Una de
las últimas aplicaciones previstas, curiosa al menos, es su implantación
en la mano de los soldados, de tal manera que su arma solamente
pueda ser disparada por él, de modo que, si se la quitan, sería un objeto
inútil y no podría ser utilizada.
En centros de logística, almacenamiento y distribución.
Ejemplos de posibles aplicaciones futuras:
En un mundo en el que los objetos incorporen habitualmente tarjetas RDFI,
serían posibles cosas como las siguientes:
- Electrodomésticos inteligentes: haciendo uso de la información que
incorporan las etiquetas RFID, por ejemplo, las lavadoras podrían
elegir automáticamente el ciclo de lavado adecuado para evitar dañar
prendas delicadas; la nevera podría avisarnos antes de que fuera a
caducar la leche o incluso elaborar la lista de la compra.
- Compras: los consumidores no necesitarían pasar por caja sino
simplemente pasar su carrito de la compra cerca de un lector, el cual
se encargaría de calcular el importe e incluso cargar el total a
dispositivos de pago RFID de los consumidores.
- Monitorización de la medicación: La Universidad de Washington en
colaboración con Intel estudian las posibilidades de emplear
tecnología RFID para asegurar la toma de la medicación por ancianos
y disminuidos psíquicos. Botiquines médicos con tecnología RFID
podrían controlar que los enfermos tomen su medicación a tiempo.
También se prevén prometedoras aplicaciones en clínicas y
hospitales.
- Pagos electrónicos con teléfonos móviles, a través de la llamada
tecnología NFC (Near Field Communication) que permite que un
teléfono móvil recupere los datos de una etiqueta RFID. Esta
tecnología combinada con medios de pago electrónicos para móviles
(como Mobipay, Paybox, etc.) permite comprar productos y pagarlos
con tan sólo acercar el teléfono al punto de información del producto
de donde RFID extrae la información que necesita
Beneficios generales del uso de tecnología RFID
El producto puede ser localizado a una distancia variable, desde pocos
centímetros, hasta varios kilómetros.
Permite un gran volumen de almacenamiento de datos mediante un
mecanismo de reducidas proporciones.
Automatiza los procesos para mantener la trazabilidad y permite incluir
una mayor cantidad de información a la etiqueta, reduciendo así los
errores humanos.
Facilita la ocultación y colocación de las etiquetas en los productos (en el
caso de las etiquetas pasivas) para evitar su visibilidad en caso de
intento de robo.
Permite almacenar datos sin tener contacto directo con las etiquetas.
Asegura el funcionamiento en el caso de sufrir condiciones adversas
(suciedad, humedad, temperaturas elevadas, etc.).
Reduce los costes operativos ya que las operaciones de escaneo no son
necesarias para identificar los productos que dispongan de esta
tecnología.
Identifica unívocamente los productos.
Posibilita la actualización sencilla de la información almacenada en la
etiqueta en el caso de que esta sea de lectura-escritura.
Mayor facilidad de retirada de un determinado producto del mercado en
caso de que se manifieste un peligro para la seguridad.
Posibilita la reescritura para así añadir y eliminar información las veces
deseadas en el caso de que la etiqueta sea de lectura-escritura.
Análisis del uso de RFID en la cadena de suministro de productos de
consumo
Actualmente, ya se utiliza ampliamente la tecnología RFID en las cadenas de
suministro en palés y cajas para permitir el control del inventario. No obstante,
con el descenso en los costes de esta tecnología, lo novedoso es que también
está comenzando a emplearse ampliamente al nivel del producto, con lo que
los distintos productos de consumo cuentan cada uno con su propia etiqueta
RFID individual, ejerciendo así la función identificativa que venían
desempeñando hasta ahora los códigos de barras. Con ello, la relación que
mantiene la tecnología RFID con los códigos de barras es una relación de
convivencia temporal hasta que los sistemas RFID estén ampliamente
implantados y, en el futuro, posiblemente de sustitución en tanto que la
tecnología RFID cuenta con una serie de ventajas respecto a los códigos de
barras.
Asimismo, esta aplicación de la tecnología RFID al nivel del producto da lugar a
un amplio abanico de nuevas posibilidades: gestión de activos, seguimiento de
la producción, gestión de devoluciones, mejora de procesos de reciclaje,
sistema antirrobo, etc.
Una cadena de suministro con tecnología RFID podría permitir el flujo de
información, junto con los productos, interrelacionándose los datos mientras el
producto pasa de la fase de materia prima a los procesos de fabricación,
distribución, venta minorista, consumo, deshechado y reciclaje.
Fig. 18: Cadena de valor basada en tecnología RFID.
Ejemplo de aplicación de RFID en distintos componentes de la cadena
de suministro y sus riesgos para la privacidad y seguridad
Fase de materias primas
En la fase de las materias primas de la cadena de suministro de productos de
consumo, las empresas de tratamiento de las materias primas emplean
tecnología RFID, por ejemplo, en los carros de transporte del acero a través de
la planta de procesamiento. De este modo, pueden seguirse las materias
primas en su desplazamiento por las diferentes fases de procesamiento dentro
de una planta. Esto permite a la empresa mejorar la gestión del stock,
aumentar el control sobre el uso de material, y mejorar la trazabilidad e
información de los productos.
Frente a estos beneficios para la empresa explotadora, también se presentan
ciertos riesgos. Así, una empresa de la competencia podría tener interés en,
por ejemplo, interrumpir los procesos para sacarle ventaja. Interrumpir la
comunicación entre lectores y traspondedores RFID atacando el lector RFID,
podría hacer que la producción tuviera que interrumpirse durante un cierto
tiempo. Esto podría acarrear pérdidas de dinero, prestigio y pedidos para la
empresa.
Fase de fabricación
En la etapa de fabricación o producción de la cadena de suministro de
productos de consumo, las empresas productoras elaboran productos que van
a venderse a consumidores a partir de los materiales o ingredientes
suministrados por las empresas de materias primas.
Siguiendo con el ejemplo anterior, una planta de fabricación podría utilizar los
transpondedores RFID que aún están acoplados a los vagones de acero
inoxidable suministrados por el proveedor de materias primas, o bien podría
aplicar sus propios transpondedores RFID. Con ello, un fabricante podría
utilizar tecnología RFID para controlar el proceso de elaboración (por ejemplo,
el desplazamiento, el peso, la mezcla, etc.). También podría beneficiarse de las
mismas ventajas que citábamos antes para la etapa de materias primas
(mejorar la gestión del stock, aumentar el control sobre el uso de material, y
mejorar la trazabilidad e información de los productos).
No obstante, también esta fase conlleva ciertos riesgos. Podría suceder que
una empresa de la competencia dedicada, por ejemplo, a la elaboración de
alimentos, bebidas o fármacos, estuviese interesada en conocer la composición
de una determinada receta. Mediante escucha secreta o espionaje
(eyesdropping) de la comunicación entre los transpondedores y los lectores, la
competencia podría averiguar el tipo y la cantidad de ingredientes empleados
en una determinada receta.
Fase de distribución
En la etapa de distribución de la cadena de suministro de productos de
consumo, las empresas de distribución se dedican al transporte de productos
de consumo desde y hacia organizaciones y, en ocasiones, al almacenamiento
de tales productos. Con frecuencia, los fabricantes disponen de empresas
distribuidoras recogen y almacenan sus productos antes de que estos lleguen a
las empresas minoristas, aunque también sería posible el transporte
directamente desde el fabricante al minorista.
Los centros de distribución pueden (re)utilizar etiquetas RFID en cajas, palés,
contenedores, productos o incluso en camiones para el transporte y los
procesos de distribución. Los procesos de distribución que pueden mejorarse
mediante el uso de RFID son la recepción de mercancías, el registro de
entrada, la reposición y el envío. El transporte podría beneficiarse del
seguimiento de los productos.
Los riesgos para la seguridad que aparecen en esta fase podrían referirse a
que, por ejemplo, los productos de consumo que se transportan o almacenan
en contenedores podrían ser vulnerables a robos. Si los contenedores están
dotados de transpondedores podrían posibilitar que un ladrón pudiera escanear
o leer rápidamente múltiples contenedores para averiguar su contenido y
decidir cuáles contienen los productos más caros para robarlos. En este caso, la
tecnología RFID podría facilitar el robo.
Etapa de comercio minorista
En esta etapa, las empresas minoristas compran productos de consumo a los
fabricantes y los venden a los consumidores en tiendas o en línea.
Las tiendas minoristas pueden (re) utilizar las etiquetas que ya contienen los
productos suministrados o colocar nuevas etiquetas.
Un minorista puede, gracias a la tecnología RFID, generar de forma más eficaz
inventarios y optimizar los niveles de stock y la reposición de artículos. Una
nueva opción es también facilitar a los consumidores el pago automático. Un
consumidor simplemente tendría que poner los productos que desea en una
bolsa y, al pasar a través de un arco con un lector, todos los productos se
escanearían automáticamente y se le facturarían al consumidor (este podría
llevar una etiqueta personal).
Desventaja: Si los productos se facturan automáticamente mediante la
tecnología RFID, un ladrón podría robar artículos simplemente evitando que se
leyera la etiqueta, por ejemplo, introduciendo la etiqueta en una especie de
caja de faraday (un contenedor metálico que bloquea las ondas de radio)
Fase del consumidor
Los productos que los consumidores adquieren de los minoristas pueden estar
dotados aún con tarjetas RFID cuando el consumidor sale de la tienda
minorista con un determinado producto.
Los principales beneficios del uso de RFID para los consumidores son:
1. Recuperación más rápida de artículos robados
2. Mejores prestaciones antirrobo de vehículos
3. Ahorros para los consumidores debido a reducciones en los costes de
fabricación y en la etapa minorista
4. Mayor seguridad en la prescripción de medicamentos
5. Retirada del mercado de productos inadecuados más rápidas y fiables y
mayor calidad y seguridad alimentaria
Además, la facturación automática podría incrementar la comodidad para los
consumidores. Una posibilidad en el futuro es el uso de RFID en los hogares
inteligentes (microondas que cocina automáticamente, lavadora auto-
programable, etc.).
Desventajas: Una persona o una organización podría escanear todas las
etiquetas que lleva en sus productos una determinada persona. Con ello,
podría contar con información como los medicamentos que consume y, con
ello, sus enfermedades, los productos que consume en general, también podría
saber si, por ejemplo, una bolsa que lleva contiene costosos dispositivos
electrónicos, o la cantidad de dinero que lleva una determinada persona. Esta
información podría ser utilizada de forma fraudulenta para encontrar y robar un
objeto o para recopilar información sobre una determinada persona, seguirla y
espiarla.
Vídeo explicativo del uso de la tecnología RFID en la cadena de suministro de
productos de consumo: http://www.youtube.com/watch?v=XjPLNmW_qqw
Principales riesgos del uso de la tecnología RFID
La seguridad en relación con las tecnologías de la información (TI)
normalmente se valora en función de lo que se denomina la tríada CIA (por sus
siglas en ingles, Confidenciality, Integrity, Availability). La confidencialidad
garantiza que personas no autorizadas no pueden acceder a la información o
los servicios, la integridad garantiza que la información o los servicios no son
modificados por personas no autorizadas, mientras que la disponibilidad
asegura que la información y los servicios siempre estarán disponibles a todas
las partes autorizadas.
Existen riesgos inherentes a la tecnología RFID que catalogaremos en riesgos
para la seguridad (ataques o averías que afectan al servicio, bien
interrumpiéndolo, bien alterándolo, bien realizando algún tipo de fraude) y
riesgos para la privacidad (uso de forma maliciosa para acceder de forma
fraudulenta a información personal de los usuarios del sistema. Este segundo
tipo de riesgo está principalmente asociado a los sistemas que dan servicio a
usuarios y puede tener una repercusión muy importante para las
organizaciones responsables).
Además de estos dos tipos, existen otros riesgos que pueden condicionar el uso
de la tecnología RFID. Así, en torno a la tecnología RFID se vuelve a plantear el
debate sobre los riesgos de exposición de los seres humanos a las
radiaciones. Este problema ha sido abordado por la OMS. Su Comisión ICNIRP
(International Commission on Non Ionizing Radiation Protection) ha publicado
normas de exposición a las radiaciones que detallan tiempos máximos de
exposición y niveles de potencia de los campos electromagnéticos presentes.
Los riesgos para la salud que presentan los campos creados por los lectores y
etiquetas RFID que hoy se usan comercialmente son mínimos. Como dato
ilustrativo, cabe apuntar que la potencia emitida por un teléfono móvil es de
2W y la de una etiqueta RFID oscila entre 10 y 200 mW, esto es, entre
200.000 y 10.000 veces menos potencia que la emitida por un teléfono móvil.
Riesgos para la seguridad
Como hemos indicado, los riesgos para la seguridad de la tecnología RFID son
aquellos derivados de acciones encaminadas a deteriorar, interrumpir o
aprovecharse del servicio de forma maliciosa. Con este tipo de actos se
persigue un beneficio económico o bien un deterioro del servicio prestado. A
continuación, los riesgos para el servicio se concretan en los tipos de “ataque”
más habituales que puede sufrir la instalación, cada uno de ellos con una
finalidad y un impacto diferente.
1. Aislamiento de etiquetas: El ataque más sencillo a la seguridad en RFID
consiste en impedir la correcta comunicación lector-etiqueta. Esto se
puede conseguir introduciendo la etiqueta en una “jaula de Faraday” o
creando un campo electromagnético que interfiera con el creado por el
lector. Este ataque puede ser utilizado para sustraer productos
protegidos por etiquetas RFID. No obstante, también cabe decir que el
mismo mecanismo puede ser una medida de protección de usuarios ante
lectores de etiquetas ilegales. Un ejemplo relevante de este caso es el
del pasaporte electrónico, para el que existen fundas especiales con hilos
de metal que generan una “jaula de Faraday” que evita lecturas
incontroladas de su información.
2. Suplantación: Este ataque consiste en el envío de información falsa que
parece ser válida. Por ejemplo, se podría enviar un código electrónico de
producto (EPC) falso, cuando el sistema espera uno correcto. Este tipo
de ataque puede servir para sustituir etiquetas lo cual puede permitir la
obtención de artículos caros con etiquetas suplantadas de productos más
baratos. Además, aplicado a la cadena de distribución, puede llegar a
acarrear un fraude de grandes dimensiones por la sustitución de grandes
volúmenes de mercancías. Este ataque puede utilizarse en otros
entornos, como puede ser el del tele-peaje.
3. Inserción: Este ataque consiste en la inserción de comandos ejecutables
en la memoria de datos de una etiqueta donde habitualmente se esperan
datos. Estos comandos pueden inhabilitar lectores y otros elementos del
sistema. La finalidad de este tipo de ataque será la desactivación del
sistema o la invalidación de parte de sus componentes, permitiendo
algún tipo de fraude, o una denegación de servicio.
4. Repetición: Consiste en enviar al lector RFID una señal que reproduce la
de una etiqueta válida. Esta señal se habrá capturado mediante escucha
a la original. El receptor aceptará como válidos los datos enviados. Este
ataque permitirá suplantar la identidad que representa una etiqueta
RFID.
5. Denegación de servicio (Dos): Este tipo de ataque, satura el sistema
enviándole de forma masiva más datos de los que este es capaz de
procesar (por ejemplo colapsando la funcionalidad de backscattering o
señal de retorno de la tecnología RFID). Asimismo, existe una variante,
el RF Jamming, mediante el cual se consigue anular o inhibir la
comunicación de radiofrecuencia emitiendo ruido suficientemente
potente. En ambos, casos, se invalida el sistema para la detección de
etiquetas. Con este ataque se consigue que los objetos etiquetados,
escapen al control del sistema en su movimiento. Puede ser utilizado
para la sustracción de mercancía a pequeña o gran escala.
6. Desactivación o destrucción de etiquetas: Consiste en deshabilitar las
etiquetas RFID sometiéndolas a un fuerte campo electromagnético. Lo
que hace este sistema es emitir un pulso electromagnético que destruye
la sección más débil de la antena, con lo que el sistema queda
inutilizado. Si se dispone de los medios técnicos necesarios, se pueden
inutilizar las etiquetas de protección antirrobo de los productos,
favoreciéndose así su sustracción. Este ataque también se puede utilizar
en los sistemas utilizados para la cadena de distribución.
7. Clonación de la etiqueta RFID: A partir de la comunicación entre una
etiqueta y el lector, se copian dichos datos y se replican en otra etiqueta
RFID para ser utilizados posteriormente.
8. Riesgo de ataque mediante inyección de lenguaje de consultas SQL: Por
medio de la comunicación entre la etiqueta y el lector, se pasa lenguaje
SQL hacia el soporte físico que lee la etiqueta, el cual, debido a dicho
ataque, ejecuta las órdenes incluidas en la etiqueta y esto puede ser
introducido en una base de datos.
9. Código malicioso (malware): Otro posible riesgo de la tecnología RFID
consiste en la infección y transmisión de códigos maliciosos incluidos
dentro de etiquetas RFID. Para ello el código malicioso debe entrar en la
etiqueta, lo que supone un hecho complicado, dado que la capacidad de
almacenamiento de algunas etiquetas no es muy grande.
10.Spoofing: Caso particular para etiquetas activas (de lectura y escritura).
En este caso se escriben datos reales en una etiqueta RFID para
suplantar la información original. Es más habitual en las etiquetas RFID
de las prendas de vestir. Se puede suplantar la información tantas veces
como se quiera, siempre que estas sean de lectura-escritura.
11.Ataques Man in the Middle (MIM): Vulnera la confianza mutua en los
procesos de comunicación y reemplaza una de las entidades. Dado que
la tecnología RFID se basa en la interoperabilidad entre lectores y
etiquetas, es vulnerable a este tipo de ataques.
12.Inutilización de etiquetas: Si se somete la etiqueta RFID a un fuerte
campo electromagnético, esta se inhabilita. Esta técnica es usada para
sustraer productos ya que, si se dispone, por ejemplo, de una antena
altamente direccional, se pueden inutilizar las etiquetas del producto.
Fig. 19: Resumen de riesgos para la seguridad
Riesgos para la privacidad
Además de la posibilidad de ataque a los elementos tecnológicos existe riesgo
para la privacidad de los usuarios. Este consiste en el acceso no autorizado a
información personal de los usuarios utilizando la tecnología RFID. En este
caso, se trata de ataques que utilizan técnicas similares a las vistas en los
riesgos para la seguridad pero que acceden a este tipo de información, bien
porque está incluida en la etiqueta, bien porque está asociada a la misma y se
accede al sistema central para consultarla.
Las amenazas más relevantes a la privacidad personal son:
1. Accesos no autorizados a las etiquetas. Estas pueden contener datos
personales, como nombres, fechas de nacimiento, direcciones, etc.
2. Rastreo de las personas y/o de sus acciones, gustos, etc. Una persona que
porte una etiqueta RFID con sus datos y la use para pagar compras,
transportes públicos, accesos a recintos, etc., podría ser observada y
clasificada.
3. Uso de los datos para el análisis de comportamientos individuales.
Utilizando técnicas de “minería de datos”, este análisis permitiría definir
perfiles de consumo basados en las preferencias de los clientes, utilizando
esta información para diseñar y orientar la estrategia de marketing y
publicidad de las empresas. En este sentido, cabe pensar en la utilización de
tales datos para el marketing relacional y la segmentación individual. En la
actualidad es habitual la práctica del marketing relacional, es decir, el que
se basa en establecer una relación directa con el cliente, con la intención de
conocer mejor sus necesidades y proporcionarle los productos y servicios
que las satisfagan de modo más efectivo. El objetivo en este caso es llegar
a conocer los gustos, características y situación de cada cliente potencial
para poder hacerle ofertas personalizadas a las que no se pueda resistir, lo
cual se conoce como segmentación individual del mercado. Hay empresas
que se dedican a crear estos perfiles individuales cotejando todo tipo de
fuentes de información, desde hábitos de comunicación en Internet, a
compras pagadas con tarjeta de crédito. En el caso extremo los
comerciantes quieren incluso conocer el comportamiento de sus clientes
tanto dentro como fuera de sus supermercados, es decir, en su ámbito
privado. RFID es una de las tecnologías que más potencial ofrecen al
respecto.
Es perfectamente posible, por ejemplo, que el usuario al adquirir un artículo
desconozca la presencia de la etiqueta y esta pueda ser leída a cierta distancia
sin que el consumidor sea consciente de ello. Si además se paga con tarjeta de
crédito, es posible asociar de manera única el artículo con el comprador y
almacenar esta información en una base de datos. Por tanto, la desconfianza
se alimenta por las propias características que la tecnología RFID permite.
1.2. Otros sistemas de identificación automática
La mayoría de las tecnologías para la identificación automática están
ampliamente aceptadas por los usuarios y son muy conocidas (tecnologías
amigables).
a. Códigos de barras. Es el sistema de identificación más utilizado, es la
tecnología preferida de los comercios para identificar los productos
pese a las limitaciones que presenta: requiere visibilidad directa para
funcionar; sirve para identificar un tipo de producto, no unidades en
particular; se daña o rompe fácilmente, ya que normalmente se
adhiere a la superficie del producto; y al dañarse no puede ser leído.
Fig. 20: Código de barras.
A diferencia de estos, la tecnología RFID elimina la necesidad de
tener una visión directa entre el lector y la etiqueta, y el rango de
distancia a la que puede hacerse la lectura de la misma es mucho
mayor. Además, las etiquetas RFID permiten una identificación única.
Los códigos de barras permiten una identificación del tipo de objeto
sobre el que se aplican (p. ej. una barrita de cereales de 100 g)
mientras que las RFID emiten un número de serie que distingue al
objeto concreto frente a millones de objetos fabricados de la misma
manera. Además, la tecnología RFID favorece la automatización en
tanto que no necesita la intervención humana directa.
RFID Código de Barras
No necesita línea de visión directa
Línea de visión directa necesaria
Identificación única de artículos, palés, cajas
Identifica únicamente la categoría del producto
La orientación del producto no es importante para la lectura
Requiere orientación adecuada del producto
Identificación simultánea Escanea un solo artículo por cada lectura
Lectura y escritura Solo lectura
Puede ser utilizada en ambientes extremos
Difícil de implementar en ambientes no controlados
Mayor cantidad de almacenamiento de información
Almacenamiento limitado
Estándares a nivel mundial en desarrollo
Estándares a nivel mundial establecidos
Más caro de implementar Mas económico de implementar
Es necesario dos procesos, creación de la etiqueta y adhesión de la etiqueta
Un solo paso, se puede imprimir fácilmente sobre la caja
Fig. 21: Tabla comparativa de la tecnología RFID con los códigos de barras.
Relación: convivencia en algunos casos y sustitución en otros.
b. Sistemas biométricos. Son sistemas que identifican personas por
comparación de características unívocas. Su principal cualidad es que
transforman una característica biológica, morfológica o de
comportamiento del propio individuo, en un valor numérico y lo
almacenan para su posterior comparación. Se puede hablar de
sistemas identificadores por huella dactilar, por voz, por pupila, por
forma de la cara, por forma de la oreja, por forma corporal o por
patrón de escritura, entre otros.
c. Reconocimiento óptico de caracteres (OCR). Los sistemas OCR
identifican automáticamente símbolos o caracteres, a partir de una
imagen para almacenarla en forma de datos. Algunas de sus
aplicaciones, entre otras, son: reconocimiento de matrículas a través
de radares, registro de cheques por parte de los bancos, etc. Los
inconvenientes de este sistema de identificación residen en su alto
precio y la complejidad de los lectores en comparación con otros
sistemas de identificación.
d. Tarjetas inteligentes. Una tarjeta inteligente o smart card es un
sistema de almacenamiento electrónico de datos con capacidad para
procesarlos. Por seguridad está instalado dentro de una estructura de
plástico similar, en forma y tamaño, a una tarjeta de crédito. Una de
las principales ventajas de las tarjetas inteligentes es que aportan
protección frente a posibles accesos indeseados ya que poseen
características de seguridad avanzadas y además son más
económicas.
Fig. 22: Chip insertado en DNI electrónico.
Comparativa con la tecnología RFID – tipos de relaciones
RFID está llamado a sustituir o competir con estas cuatro tecnologías y con
otras en determinadas aplicaciones y en determinados entornos.
• RFID – código de barras. En la mayoría de los estudios y encuestas
realizadas, se muestra una clara predisposición por el uso de RFID
sobre el código de barras. Se prevé que ambas tecnologías coexistan,
pero, en general, la tecnología RFID se impondrá a los códigos de
barras ya que ahorra tiempo y personal, es más eficiente y minimiza
las pérdidas y los errores. Relación: coexistencia – sustitución.
• RFID- sistemas biométricos. Los sistemas biométricos aportan una
gran versatilidad en la identificación pero precisan del manejo de
información privada del individuo. En cambio, la tecnología RFID
permite utilizar menos cantidad de información. Por tanto, en
entornos donde no sea necesario un nivel de seguridad extremo, la
tecnología RFID se presenta como una alternativa. Relación:
coexistencia – sustitución.
• RFID – OCR. Los sistemas OCR solo se mantendrán en pocas
situaciones dado que la tecnología RFID es claramente superior.
Relación: sustitución.
• RFID – tarjetas inteligentes. Las tarjetas inteligentes presentan
mayor seguridad que la tecnología RFID, pero el inconveniente de
que no contienen baterías, siendo el lector, por contacto eléctrico, el
que suministra la energía necesaria para su funcionamiento; al
contrario de la tecnología RFID, que no requiere contacto con el
dispositivo de lectura. Relación: coexistencia – sustitución.
1.3. Dispositivos y medidas contra la seguridad y privacidad de la
tecnología RFID - (relación: oposición)
En este apartado han de incluirse los dispositivos y técnicas que permiten o
bien acceder a la información contenida en las etiquetas o bases de datos, o
bien interferir de algún modo en su funcionamiento. Han de considerarse así en
este apartado aquellos dispositivos o técnicas que dan lugar a los riesgos para
la seguridad y privacidad ya citados anteriormente.
1.4. Dispositivos y medidas para la seguridad y privacidad de la
tecnología RFID - (relación: conveniencia – coexistencia)
En este apartado se indican solo algunas de las medidas para garantizar la
seguridad y privacidad de la tecnología RFID, mas cabe decir que cabe decir
que hasta el momento ninguna de estas técnicas ha resultado ser efectiva en
todos los casos de aplicación y muestran diversas desventajas en función de
cada situación concreta de uso.
a. Comando KILL. EPCglobal facilita una opción de seguridad en la propia
etiqueta conocida como ‘kill command’ activable con una contraseña de 32
bits. Este comando desactiva el funcionamiento de la etiqueta de forma
permanente. Esta utilidad soluciona amenazas como escuchas fraudulentas
pero elimina cualquier opción de ofrecer servicios de postventa al cliente.
Además, las etiquetas pueden ser desactivadas en el momento de la
entrega al cliente, pero no antes (son posibles amenazas como
manipulación y suplantación) porque se perderían todas las características
de seguimiento y trazabilidad. Del mismo modo, esta solución no se adapta
a las amenazas por DoS (Denegación de servicio) porque el resultado
deseado es desactivar el funcionamiento de la etiqueta electrónica, que es
precisamente la función del comando kill.
b. Contraseña de acceso. El estándar EPCglobal también contempla una
contraseña de acceso de 32 bits que, si se activa, bloquea la escritura en la
memoria de la etiqueta. Esta medida puede solucionar amenazas de
manipulación si el atacante no conoce la contraseña, pero también es
susceptible de ser descifrada mediante dispositivos adecuados.
c. Utilización de etiquetas watchdog. Estas etiquetas informan de intentos de
lectura y escritura que se hagan en su área de actuación.
d. Aislamiento. Evita la lectura de las etiquetas salvo en los momentos que se
desee. Para ello, solo hay que introducir la etiqueta en una funda de
material metálico que haga la función de una “jaula de Faraday”.
e. Inhibidores de radiofrecuencia o firewall RFID. Dispositivos que crean una
zona segura alrededor del usuario mediante la emisión de ondas que anulan
la efectividad de RFID. Esta solución es aplicable a entornos de máxima
seguridad, pero no es compatible con situaciones en las que ciertas lecturas
deben ser permitidas y otras no.
f. Reescritura o cifrado de la ID de la etiqueta. Estas soluciones aprovechan la
posibilidad de escritura múltiple de la etiqueta para evitar amenazas como
escuchas fraudulentas o suplantación. Ambas soluciones responden a la
misma idea: enlazar en un base de datos segura la ID real de la etiqueta y
una pseudo ID.
g. Uso de etiquetas con medidas anti falsificación.
h. Aumento de la complejidad del chip de la tarjeta.
i. Medidas de protección de la memoria de la tarjeta.
j. Uso de protocolos de cifrado seguros.
k. Protección física de las etiquetas, lectores y servidores.
l. Límite del número de lecturas sin éxito.
2. Actores humanos
2.1. Empresas fabricantes de tecnología RFID (relación:
conveniencia)
Los principales fabricantes mundiales de esta tecnología son Phillips, Alien
Technologies, Texas Instruments y Matrics. No obstante, existen numerosas
empresas dedicadas a la fabricación de tecnología RFID. Así, por ejemplo, es
de destacar IBM, quien cuenta con numerosas patentes relacionadas y una
amplia oferta de servicios y software especializado para la implantación y
puesta en marcha de proyectos RFID. Algunas empresas productoras son las
siguientes:
… … … …
… …
… …
2.2. Usuarios
2.2.1. Empresas (relación: conveniencia – oposición)
Como hemos dicho, las aplicaciones de la tecnología RFID abarcan toda la cadena de valor, desde la etapa de materias primas, pasando por las fases de
fabricación, distribución y comercio minorista, hasta llegar al consumidor final. Asimismo, los sectores industriales en los que es posible aplicar esta tecnología
abarcan numerosos ámbitos. En este sentido, es de destacar un rápido incremento en el uso de esta tecnología por parte de grandes empresas de países industrializados (por ejemplo, Unilever (consumo masivo), United
Biscuits (alimentos), Departamento de Defensa de los Estados Unidos, Wal-Mart y Metro (minoristas)), principalmente de Europa, Estados Unidos y Asia,
estando previsto el uso de más de 100 billones de etiquetas en empresas relacionadas con la cadena de suministro principalmente con los objetivos de ser empleadas para identificar los productos de forma única a través del EPC,
controlar inventario en tiempo real, realizar trazabilidad de productos, intercambiar información, planear, automatizar y controlar operaciones
logísticas (transporte, aprovisionamiento automático, etc.), lo cual permite mejorar la eficiencia y satisfacción del cliente.
En España, el uso de esta tecnología también crece rápidamente en el caso de grandes empresas (por ejemplo, Alcampo la emplea en los productos de marca
Auchan o El Corte Inglés también la ha incorporado ampliamente), siendo la aplicación por sectores, independientemente del tamaño de la entidad,
principalmente en empresas con actividades de transporte y almacenamiento (12,2%), seguidas del sector financiero (8,2%), la informática, las telecomunicaciones y audiovisuales (7,5%) y el comercio mayorista (6,2%) y
minorista (5%).
En el ámbito de las empresas, debe indicarse también que el uso de la tecnología RFID no se limita a objetos, sino que también sirve para el control de empleados.
2.2.2. Consumidores (relación: conveniencia – oposición)
La Comisión Europea en 2006 llevó a cabo una consulta pública sobre RFID que
expuso la opinión de los ciudadanos europeos acerca de esta tecnología. La
posición mayoritaria expresaba la preocupación ante posibles intromisiones en
su intimidad y el miedo de los ciudadanos acerca de la posibilidad de que la
RFID se convierta en una tecnología invasora. El principal motivo de
desconfianza se relacionaba con las amenazas a la privacidad y la percepción
de no tener un control sobre esta tecnología y sus usos, por lo que una
protección adecuada de la privacidad constituye una condición previa para la
aceptación generalizada de la RFID por el ciudadano. Quienes respondieron a la
consulta en línea esperaban que esta protección se consiguiera mediante
tecnologías potenciadoras de la privacidad (70%) y campañas de
sensibilización (67%), mientras que un 55% consideraba que la mejor solución
sería una legislación específica sobre la RFID. Además, en cuanto al tema de si
las aplicaciones sociales son realmente positivas, las opiniones están muy
divididas, alineándose aproximadamente un 40% de las respuestas con cada
opción. Las partes interesadas han manifestado su preocupación sobre posibles
violaciones de los valores fundamentales y de la privacidad, así como por la
posibilidad de que una mayor vigilancia, especialmente en el lugar de trabajo,
derive en discriminación, exclusión, victimización y posible pérdida del empleo.
Asociaciones de consumidores
Diversas asociaciones de consumidores han manifestado su preocupación en
cuanto al uso de la tecnología RFID y han exigido que se tomen una serie de
medidas orientadas fundamentalmente a la protección de la seguridad y
privacidad de los datos.
Las principales demandas son las siguientes:
- Carácter opcional de las etiquetas y exención en documentos
oficiales. Ningún producto debería incorporarlas por obligación y
nunca deben estar presentes en la documentación oficial.
- Indicación clara. La administración debería obligar a avisar
claramente, a través de etiquetas, cuando un producto, tarjeta u
objeto de consumo en general lleve una etiqueta RFID incorporada,
tanto en el embalaje como en el producto en sí. El consumidor tiene
derecho a saberlo para poder tomar una decisión de compra sobre la
base de esta información.
- Desactivación permanente de etiquetas RFID. Para los productos que
dispongan de RFID tanto en el embalaje como en el propio producto,
se debería garantizar que la etiqueta RFID es desactivada
permanentemente (no vale con dejarla en estado latente). Los chips
deben poder ser neutralizados y retirados de los objetos sin que ello
tenga repercusiones en la garantía de los productos.
- Se debería garantizar la disponibilidad de dispositivos de
desactivación permanente de etiquetas RFID para ser utilizados por el
usuario o consumidor.
- Prohibición de cualquier tipo de seguimiento a personas en entorno
público o privado, incluyendo la trazabilidad de empleados durante su
jornada laboral
2.3. Organismos normativos
2.3.1. Comisión Europea (relación: conveniencia**)
Básicamente, la Comisión Europea considera que la tecnología RFID puede
resultar positiva tanto para los consumidores como para fomentar el
crecimiento económico, pero considera que para conseguir la aceptación de la
tecnología RFID es necesario aún abordar varios problemas, los cuales abarcan
cuestiones relativas a la seguridad y la privacidad, la gobernanza, el espectro
radioeléctrico y las normas.
Pretende promover campañas de sensibilización dirigidas a los Estados
miembros y a los ciudadanos sobre las oportunidades y retos asociados a la
RFID así como reforzar sus contactos internacionales con las administraciones
de terceros países, en particular en Estados Unidos y Asia, con objeto de
favorecer la interoperabilidad mundial basada en unas normas internacionales
abiertas, equitativas y transparentes.
En particular en relación con los problemas de seguridad, privacidad y demás
problemas políticos planteados por el paso de la RFID a la «Internet de los
objetos», la Comisión considera que aún resulta necesario un debate más
detallado entre las partes interesadas para profundizar en el análisis de las
acciones necesarias. Ha establecido un grupo de estudio (WP29 – Article 29
Working Party) en el que las distintas partes interesadas deberán estar
representadas de forma equilibrada para servir como una plataforma abierta
para posibilitar el diálogo entre organizaciones de consumidores, agentes
económicos y autoridades nacionales y europeas, incluidas las de protección de
datos, con el objetivo de comprender las inquietudes y adoptar medidas
coordinadas al respecto. Se trata de un Grupo de trabajo informal (liderado por
representantes de la industria, grupos de consumidores, órganos de
estandarización, representantes académicos).
Asimismo, defiende que la privacidad y la seguridad deben constituir un
elemento intrínseco, no añadido a posteriori, de los sistemas de información
RFID antes de su implantación generalizada («seguridad y privacidad a través
del diseño»), por lo que considera que a la hora de diseñar estos sistemas es
imprescindible tener en cuenta las necesidades tanto de las partes que
participan activamente en el establecimiento del sistema de información RFID
(por ejemplo, organizaciones empresariales, administraciones públicas u
hospitales) como de los usuarios finales a los que se aplicará el sistema
(ciudadanos, consumidores, pacientes o empleados). Dado que los usuarios
finales no suelen participar en la fase de diseño de las tecnologías, la Comisión
respaldará la elaboración de un conjunto de directrices (código de conducta o
buenas prácticas) específicas de las aplicaciones por un grupo de expertos
representativo de todas las partes.
En 2009, la Comisión publicó una Recomendación que indica los principios que
deberían aplicar las autoridades públicas y demás partes interesadas en
relación con el uso de la RFID. No obstante, la misma se limita a una serie de
orientaciones y buenas prácticas así como a destacar la aplicabilidad de las
Directivas 95/46, 2002/58 y 1999/5 sobre protección de datos de carácter
personal y privacidad.
En 2010, se publicó un primer borrador PIA (Privacy Impact Assessment)
propuesto por la industria sobre las recomendaciones de la Comisión, pero
WP29 no lo considera aceptable en tanto que carece de un análisis de riesgos
claro y preciso. También ENISA (European Network and Information Security
Agency) y el Supervisor Europeo de Protección de Datos (EDPS, European Data
Protection Supervisor) mencionan carencias en la evaluación de aspectos
relativos a la seguridad.
En cuanto a cuestiones relacionadas con el medio ambiente y la salud
relacionadas con el uso generalizado de los dispositivos RFID
- en lo que se refiere al medio ambiente, los dispositivos RFID se ajustan
a la definición de aparatos eléctricos y electrónicos contenida en las
Directivas 2002/96/CE, sobre residuos de aparatos eléctricos y
electrónicos, y 2002/95/CE, sobre restricciones a la utilización de
determinadas sustancias peligrosas en aparatos eléctricos y electrónicos.
- en lo que se refiere a la salud, se considera que, en general, los campos
electromagnéticos asociados a las aplicaciones RFID son de baja
potencia. En estos casos, y en condiciones normales de explotación, se
espera que la exposición del público en general y de los trabajadores a
CEM relacionados con la RFID esté muy por debajo de los actuales
límites estándar.
2.3.2. Parlamento Europeo (relación: conveniencia**)
Fundamentalmente, el Parlamento Europeo suscribe la posición de la Comisión
en relación con la tecnología RFID. Considera que es una tecnología positiva
tanto para los consumidores como para impulsar el desarrollo económico, pero
resalta la importancia de estudiar las implicaciones sociales, éticas y culturales
de la Internet de los objetos de cara a la posible gran transformación que
experimentará la civilización a causa de esta tecnología.
Considera que es importante que el debate político y la investigación
socioeconómica en relación con la Internet de los objetos vayan de la mano de
la investigación tecnológica y su progreso y solicita a la Comisión la creación de
un grupo de expertos que realice una profunda evaluación de estos aspectos y
proponga un marco ético para el desarrollo de las tecnologías y las aplicaciones
relacionadas. En este sentido, solicita estudios más exhaustivos en relación con
las vulneraciones de la privacidad, el impacto sobre la salud, la presencia de
tarjetas RFID en un determinado producto, el derecho al «silencio de los
chips», las garantías ofrecidas a los ciudadanos en materia de protección
durante la recopilación y el procesamiento de datos personales, la protección
para los ciudadanos y las empresas de la UE frente a todo tipo de ciber-
ataques, así como la armonización de las normativas regionales, el desarrollo
de normas tecnológicas abiertas y la interoperabilidad entre sistemas
diferentes y una reglamentación específica a escala europea.
Entre sus reivindicaciones cabe destacar la exigencia de la desactivación
automática de etiquetas en el punto de venta, la elaboración de directrices
claras para cada tipo de etiquetas RFID, directrices sobre la pertenencia y
capacidad de disposición de los datos RFID, la necesidad de informar a los
consumidores sobre la presencia de etiquetas RFID activas o pasivas, la gama
de lectura, el tipo de datos compartidos (recibidos o transmitidos) por los
dispositivos y el uso que se hace de los mismos, debiendo indicarse claramente
esta información en los embalajes y desarrollarse con detalle en la
documentación suministrada. Asimismo, pide la adopción de todas las medidas
de seguridad necesarias por parte de las empresas fabricantes para garantizar
que los datos no se refieran a una persona natural identificada o identificable
por ningún medio que pueda ser utilizado por el operador de aplicaciones RFID
ni por ninguna otra persona, a menos que esos datos sean procesados de
conformidad con los principios y normas jurídicas aplicables en materia de
protección de datos. Resalta la necesidad de realizar campañas de información
a los consumidores para lograr la aceptación de esta tecnología, así como de
adoptar medidas para garantizar la recopilación y el uso de los datos mínimos
estrictamente necesarios e impedir que se recojan datos adicionales. Asimismo,
recuerda a la Comisión la necesidad de definir normas comunes a escala
internacional con vistas a la normalización de la tecnología RFID.
2.3.3. Legislación nacional (relación: coexistencia)
En España no existe una normativa específica sobre tecnología RFDI sino que
se limita Ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de
Carácter Personal (LOPD). Asimismo, la Agencia Española de Protección de
Datos y el Instituto Nacional de Tecnologías de la Comunicación han elaborado
una guía de recomendaciones y buenas prácticas que se limita a citar las
recomendaciones al respecto de le Comisión Europea.
2.4. Organismos de regulación y estandarización (relación:
coexistencia)
La estandarización de esta tecnología posibilita que exista interoperabilidad
entre aplicaciones y ayuda a que los diferentes productos no interfieran,
independientemente del fabricante. Antes de que se desarrollaran estándares
que regularan la comunicación entre etiquetas y lectores, cada compañía
poseía un sistema diferente, por lo que las etiquetas de un fabricante sólo
podían ser leídas por los lectores de ese mismo fabricante.
La estandarización en el mundo de RFID comenzó por la competencia de dos
grupos competidores: Auto-ID Center (más conocida como EPC Global) e ISO.
a. EPC Global - Electronic Producto Code (EPC). La organización
EPC Global es la organización mundial que asigna los códigos EPC a
las entidades y empresas, asegurándose que el número asignado sea
único. Además de regular el sistema, se encarga de asesorar y
homologar las aplicaciones disponibles en la industria así como las
empresas reconocidas como integradoras.
La EPC Global ha desarrollado el EPC o Código Electrónico de
Producto, que resuelve el problema de estandarización en lo que a
codificación se refiere. El código EPC es un número único (con una
longitud de 24 dígitos hexadecimales) diseñado para identificar de
manera exclusiva cualquier objeto a nivel mundial. Ello permite la
mejora y la eficiencia en los procesos del manejo físico de las
mercancías tales como recepción, contabilización, clasificación y
embarque. Los proveedores obtienen información en tiempo real
sobre el consumo y estatus de sus mercancías dentro de la cadena de
suministros, pudiendo estimar los plazos de entrega y solventar en
gran medida el robo de mercancías.
Un elemento fundamental de esta organización es el EPC Gen2
(EPCGlobal UHF Generation 2), estándar definido por más de 60 de
las principales compañías de tecnología. Incluye 2 normas básicas:
una que delimita los requisitos físicos y lógicos para la transmisión de
información entre las etiquetas y los lectores, y la otra que identifica
los esquemas de codificación específicos de EAN.UCC (El sistema
EAN.UCC es un conjunto de estándares que permite la administración
eficiente de las cadenas de distribución multi-sectorial y mundial
mediante la identificación inequívoca de productos mediante el
etiquetado de los productos a través de códigos de barras estándar.
Permitiendo la automatización de los procesos, hace posible el
conocimiento de la trayectoria y la ubicación de los productos
mediante una lectura automática de códigos de barras).
b. Instituto Europeo de Normas de Telecomunicación (ETSI). Ha
elaborado normas específicas para la RFID en las frecuencias UHF, así
como normas para los dispositivos genéricos de corto alcance (SRD)
para equipos LF, HF y de microondas que pueden utilizarse para la
RFID.
c. International Organization for Standardization (ISO).
Organización internacional no gubernamental integrada por una red
de institutos nacionales en 160 países, cuya aportación es igualitaria
(un miembro por país). Su función principal es buscar la
estandarización de normas de productos y seguridad para las
empresas u organizaciones a nivel internacional.
Los estándares RFID tratan los siguientes temas:
• Protocolo de interfaz aire: la forma en la que las etiquetas y los
lectores se pueden comunicar.
• Contenido de los datos: organización de los datos que se
intercambian.
• Conformidad: pruebas que los productos deben cumplir para
reunir los requisitos del estándar.
• Aplicaciones: cómo se pueden utilizar las aplicaciones con RFID.
Las normas ISO relativas a la RFID son:
• ISO/IEC 11784-11785, ISO 10536, ISO 18000: sobre privacidad
y seguridad de los datos.
• ISO 18000: especifica protocolos para diversas frecuencias,
incluidas las bandas de baja frecuencia, alta frecuencia y
frecuencia ultra alta.
• ISO 14223/1: identificación por radiofrecuencia de animales,
transpondedores avanzados e interfaz radio.
• ISO 14443: estándar para dispositivos RFID de proximidad con un
alcance operativo de 10 cm orientado a los sistemas de pago
electrónico y documentación personal. Es muy popular el
estándar HF, que es el que se está utilizando como base para el
desarrollo de pasaportes que incorporan RFID.
• ISO 15693: estándar HF para dispositivos RFID de vecindad con
un alcance operativo de hasta 1 m. También muy extendido, se
utiliza en tarjetas sin contacto de crédito y débito.
• ISO 18000-7: estándar industrial para UHF (para todos los
productos basados en RFID activa) es promovido por el
Departamento de Defensa de EEUU, la OTAN y otros usuarios
comerciales de RFID activa.
• ISO 18185: estándar industrial para el seguimiento de
contenedores, a frecuencias de 433 MHz y 2,4 GHz.
• ISO/IEC 15961: se encarga del protocolo de datos e interfaz de
aplicación.
• ISO/IEC 15962: sobre el protocolo de codificación de datos y
funcionalidades de la memoria de la etiqueta RFID.
• ISO/IEC 15963: sobre el sistema de trazado y monitorización que
afecta a la etiqueta RFID.
• ISO 19762-3: establece los términos y definiciones únicas de
identificación por radiofrecuencia (RFID) en el campo de la
identificación automática y captura de datos técnicos.
• ISO 23389: estándar para los contenedores (normas de
lectura/escritura).
• ISO 24710: técnicas AIDC para gestión de objetos con interfaz
ISO 18000.
• ISO 18092, NFCIP-1/ECMA340: estándar de Near-Field
Consortium para alta frecuencia que transciende el modelo de los
lectores de etiquetas fijos en tanto que un dispositivo NFC puede
operar tanto como lector/receptor como a modo de transmisor.
Por una parte, estos estándares y especificaciones se actualizan
continuamente, pero el problema es que los estándares actuales no
son interoperables al cien por cien ni entre sí, ni con otras
tecnologías.
Por otra parte, son los gobiernos de cada país los que finalmente
regulan las frecuencias permitidas, las emisiones y otras
características de funcionamiento.
2.5. Investigaciones científicas sobre el tema (relación:
coexistencia)
Se centran fundamentalmente en analizar los riesgos y las posibles
soluciones. Advierten de numerosas vulnerabilidades y riesgos
inherentes a esta tecnología y resaltan la necesidad de medidas
urgentes y más investigación al respecto.
2.6. Medios de comunicación
El tratamiento de este tema llevado a cabo por los medios de
comunicación es muy variado. Podemos encontrar desde un enfoque de
periódicos y noticiarios centrado fundamentalmente en informar sobre
los beneficios de la tecnología, dejando a un lado los riesgos,
presumiblemente tratando de buscar la máxima aceptabilidad de la
tecnología por parte de los consumidores o usuarios pasivos (relación:
conveniencia) a un enfoque demonizante por parte de determinados
blogs que designan a la tecnología RFID como la marca de la bestia 666
(relación: oposición)(véase, por ejemplo,
http://www.youtube.com/watch?v=l16TaNZ3-zY).
No obstante, sí consideramos interesante resaltar en este sentido el
hecho de que incluyan como factor de riesgo no solo que la información
contenida en la tecnología RFID pueda caer en manos de empresas
privadas que hagan un uso ilegítimo de ella, sino también el riesgo y la
vulnerabilidad de la privacidad que puede suponer el hecho de que los
gobiernos puedan disponer de una información excesiva sobre los
ciudadanos (téngase en cuenta que, por ejemplo, la Ley española sobre
protección de datos restringe el uso de datos personales por parte de las
empresas para fines privados, pero contempla el uso de tales datos por
parte de las autoridades administrativas).
También este tema ha sido abordado desde diferentes enfoques por la
ciencia ficción (véase como ejemplo en este sentido el cortometraje
‘Plurality’ (subtítulos en español) en:
http://www.universalsubtitles.org/es/videos/UtdHPQfkQ3nJ/info/plurality/
3. Valoración de la controversia
Finalmente, en este apartado se pretende esbozar una valoración de la
controversia en torno a la tecnología RFID sobre la base de las
preguntas formuladas por B. Latour: ¿son los distintos representantes de
la controversia legítimos y autorizados?, ¿hay suficiente precisión en la
representación de las cosas y los asuntos?, ¿hay espacios o foros
legítimos en los que reunirse y debatir?
En este sentido, consideramos que existen representantes legítimos
autorizados de las distintas partes de la controversia y se dispone de
espacios legítimos en los que abordar esta problemática. Como ejemplo
al respecto cabe citar el ya mencionado grupo de trabajo WP29 de la
Comisión Europea (integrado por diversas partes como…) o la propia voz
del Parlamento Europeo. Sin embargo, no consideramos que exista
suficiente precisión en la representación de las cosas. La tecnología RFID
es aún incipiente, está comenzando a propagarse a un ritmo frenético y
las vulnerabilidades inherentes a esta tecnología solo permiten
vislumbrar algunos de los posibles fraudes y amenazas a los que está
sujeta.
Por ello, consideramos que existe una necesidad urgente de tomar
medidas oportunas en los distintos ámbitos afectados, elaborar
normativas de cumplimiento obligatorio más allá de simples
recomendaciones que son ignoradas en la mayoría de los casos, así
como de promover la investigación y el desarrollo de soluciones técnicas
a los problemas de seguridad. Asimismo, las campañas informativas se
muestran ineficaces, por lo que es menester proporcionar información a
los ciudadanos tanto sobre sus derechos como sobre las medidas de
seguridad pertinentes que deberían adoptar para preservar su privacidad
y seguridad.