Los virus amenazan los ‘tags’

La universidad holandesa Vrije Universiteit Amsterdam ha dado la voz de alarma. Por primera vez, una institución ha puesto en evidencia el riesgo de virus y ataques en los tags. Mientras algunos fabricantes y expertos subrayan las garantías y mecanismos de protección que incorpora esta tecnología, otros piden más seguridad.

El pasado mes de marzo tres investigadores de la universidad holandesa Vrije Universiteit Amsterdam (Holanda) pusieron en alerta a la comunidad RFID al desvelar la posibilidad de virus y ataques a las infraestructuras basadas en esta tecnología. Aprovecharon un congreso en Pisa (Italia) para presentar los resultados de su estudio durante una conferencia llamativamente titulada “Is your cat infected with a computer virus?” (¿Está su gato infectado por un virus de ordenador?).

Lejos de centrarse en la identificación de animales, el objetivo de este grupo de investigadores era alertar a los diseñadores sobre las consecuencias del malware en grandes aplicaciones de cadena de suministro, control de equipajes o retail. Este documento se propone advertir de que los datos contenidos en los tags RFID pueden ser utilizados para explotar las debilidades de los sistemas de software back-end, según explican los investigadores en la introducción de su estudio, disponible en Internet en la página www.rfidvirus.org.

Buscar más seguridad
Y es que, a pesar de que tradicionalmente se considera que la capacidad de almacenamiento de un tag (apenas 114 bytes) impide las infecciones por códigos autorreplicantes, los investigadores tan sólo tardaron cuatro horas en desarrollar un virus lo suficientemente pequeño. “Es cierto que la defensa de la RFID no puede basarse en el hecho de que la capacidad de los chips sea reducida; puede que actualmente sea una garantía, pero hay que pensar en el futuro”, dice Alejandro Jiménez, director de desarrollo de negocio manufacturing and distribution industries de HP. “Cuanto mayor es la flexibilidad, menor es la seguridad y a la inversa. En un entorno en el que los tags RFID sean de sólo lectura y la información se halle en los sistemas empresariales, los virus no funcionarán. En cambio, en un sistema donde las etiquetas se pueden reescribir, existe una mayor flexibilidad, pero estamos expuestos a su mal uso. De todos modos, hablar de virus en RFID me parece prematuro”, apunta Manuel Guerreiro, director de desarrollo de industria de Sun Microsystems Ibérica.

Sin casos reales
Todos los expertos consultados coinciden en señalar que se trata de un estudio teórico y que dibuja un escenario poco plausible, al tiempo que subrayan la inexistencia de casos reales de estas características. Enrique Ferrer, director técnico de Symbol para Iberia e Italia, se muestra especialmente tajante en este sentido: “Tendría más veracidad si se hubieran basado en una instalación real en explotación en la actualidad y sobre la cual el atacante no hubiera tenido ninguna información acerca de la infraestructura existente más allá del tag. Es fácil hacer que algo falle cuando tú mismo lo diseñas y quieres demostrar que es posible vulnerarlo”, argumenta. “Técnicamente es posible introducir esos virus, pero la etiqueta es solamente uno de los componentes más pequeños de toda la solución completa”, apunta Manuel Gallo, director general de Verisign para el sur de Europa. No obstante, la mayoría consideran que reflexiones de estas características resultan necesarias para poner en guardia a los diseñadores de este tipo de soluciones.

Efectivamente, para evitar que su trabajo (donde se publica incluso el código de los virus) pudiera servir de base e inspiración a los hackers, los investigadores diseñaron un middleware propio con características similares a las de los productos comerciales y lo conectaron después a las bases de datos más habituales en el mercado, como Oracle o Microsoft. Una vez lograda la hazaña del diseño del virus, demostraron la posibilidad de realizar un desbordamiento de datos (buffer overflow) e inyecciones SQL: el primer problema se refiere al envío masivo de información de forma que se colapsa el sistema, mientras que en el segundo caso se le engaña para entrar directamente en la base datos y acceder a la información contenida en ella, que en muchos casos puede ser confidencial.

En opinión de Enrique Ferrer, de Symbol, “muy mal lo tiene que haber hecho el diseñador del sistema como para permitir que una etiqueta que pasa por un arco le haga un volcado de datos a un servidor remoto”. Al hablar de las consecuencias de estos posibles ataques e infecciones, Manuel Guerreiro, de Sun, considera que “lo más grave es que habría que replantearse el método en uso. Además, los datos en el sistema de gestión empresarial serían incorrectos y habría que verificarlos”.

Mecanismos de control
Existen muchas garantías que hacen posible considerar la RFID como una tecnología segura. Según Alejandra Jiménez, de HP, “el riesgo no se encuentra ni en la etiqueta ni en la antena, sino en los daños que se provoquen en el software de mediación y en los ERP. No obstante, los fabricantes de estos productos llevan toda la vida haciendo frente a las vulnerabilidades y a los virus”. De hecho, otro de los riesgos que señala el informe es la posible propagación de gusanos (un tipo de virus capaz de autorreplicarse sin necesidad de que el usuario ejecute ninguna acción) en el middleware a través de Internet. Por ello conviene asegurarse de que se incorporan los parches y firewalls (cortafuegos frente a virus) necesarios en el ordenador donde vayan a almacenarse los datos recogidos por los lectores y el middleware. Manuel Gallo, de Verisign, se refiere aparte a un mecanismo de seguridad suplementario: la utilización de certificados de dispositivo para asegurase de que el lector que se conecta al sistema está autorizado. “Esta tecnología ya se utiliza con otros aparatos, como los decodificadores de televisión por satélite”, añade. Además, se pueden emplear mecanismos de encriptación de datos que dificulten el acceso a la información.

Para evitar un eventual desbordamiento del buffer, basta con disponer de filtros en las antenas: “Cada vez existen modelos más inteligentes, capaces de incorporar funcionalidades propias del middleware, como el control de flujo de datos”, asegura Jiménez. Asimismo, el paso de EPC Generación 1 a Generación 2 ha supuesto una notable reducción de los riesgos. “Antes las claves eran pequeñas, pero ahora se han ampliado a 32 bits, lo que hace más difícil descifrarlas”, dice Ferrer, de Symbol. Al mismo tiempo, mientras aquellos primeros tags difundían constantemente la información, los de Generación 2 sólo emiten cuando se les pregunta desde un interrogador.

Riesgos en EPCGlobal
El responsable de Verisign reconoce la existencia de otros riesgos asociados a la tecnología RFID y, más en concreto, al funcionamiento de la red EPCGlobal, encargada de permitir el acceso a los datos de la cadena de suministro a escala global. Éstos están disponibles en un entorno privado accesible a través de Internet y que Verisign se encarga de gestionar y custodiar. “La información puede ser de acceso público o restringido, o bien encontrarse dividida en diferentes niveles según se trate de consumidores o usuarios”, analiza. Los riesgos comienzan por la certificación e identificación de los fabricantes. Al igual que sucede en Internet, el registro de frecuencias corre por cuenta de distintos organismos dependiendo del país (en España se encarga la Asociación Española de Codificación Comercial, AECOC), mientras que Verisign es responsable del alta a escala global. Gallo insiste en la necesidad de establecer rigurosos mecanismos de verificación para que nadie “piratee” la identidad de otro fabricante. El segundo punto problemático es el acceso a los sistemas de información a través de la Red: “Necesitamos métodos de autenticación, como certificados digitales o claves de un solo uso, que protejan toda aquella información que no tenga por qué ser pública”.

Finalmente existe el peligro de manipulación del ONS (Object Number Service): similar al conocido fenómeno farming en Internet, que conduce al usuario a un sitio falso, aun cuando la clave introducida sea la correcta. De este modo, algún fabricante pirata podría hacerse con clientes ajenos.