Mientras que "tocar en" y "tocar fuera" con una tarjeta Oyster sin duda ha facilitado mucho el manejo del sistema de transporte público de Londres, existe el temor de que la seguridad de los chips RFID utilizados en las tarjetas pueda verse comprometida..

En enero, el estudiante graduado de la Universidad de Virginia Karston Nohl reveló que su equipo de investigación había descifrado los algoritmos que protegen los datos almacenados en "tarjetas inteligentes" equipadas con RFID, como la tarjeta Oyster.

“Realizamos ingeniería inversa de los componentes criptográficos de las etiquetas RFID MIFARE Classic. Este tipo de tarjeta se utiliza en varias aplicaciones de micropago, incluida la tarjeta Oyster,” Nohl dijo en un comunicado de prensa en el momento.

En respuesta, NXP Semiconductors (NXP), la compañía que fabrica MIFARE Classic, dijo que analizaría el problema. La semana pasada NXP anunció la introducción de MIFARE Plus..

Según NXP, el MIFARE Plus mejora considerablemente la seguridad del Classic al emplear una longitud de clave de 148 bits en comparación con los 48 bits del Classic. Esto es además del número de “características de seguridad adicionales,” por lo que la compañía afirma.

17 millones de tarjetas comprometidas?

Sin embargo, desafortunadamente, las tarjetas MIFARE Plus no se lanzarán por un año más, lo que significa que la generación actual de tarjetas Oyster, tal como las llevan 17 millones de pasajeros en todo Londres, emplean el chip MIFARE Classic ahora comprometido..

Cuando TechRadar se contactó con Transport for London (TfL) para comentar, un portavoz simplemente nos dijo: "La seguridad del sistema Oyster nunca se ha violado. Realizamos pruebas diarias para tarjetas de clonación o dispositivos falsos y no se ha descubierto ninguna..”

Cuando se les pregunta si TfL tiene algún plan para cambiar al chip MIFARE Plus más seguro el próximo año, su portavoz nos recomendó a TranSYS, que trabaja en asociación con TfL para suministrar y ejecutar el sistema de tarjetas Oyster..

Tecnologia antigua?

TechRadar habló con Richard Rowlands, director de ingeniería de TranSYS, quien nos dijo que la tarjeta Oyster actual fue elegida mucho antes de que investigadores como Karsten Nohl hubieran comenzado a revelar posibles vulnerabilidades con la tecnología..

“Fue elegido hace ocho o nueve años. Esa era la tarjeta que estaba alrededor entonces. Sin embargo, estamos comprometidos en evaluar otras tarjetas, incluida la MIFARE Plus,” Rowlands explicó.

En cuanto a la seguridad de las tarjetas Oyster actuales, TranSYS permanece tan firme como TfL que sus tarjetas son seguras: “Hay dos niveles de seguridad: seguridad a nivel de sistema y seguridad a nivel de tarjeta” Rowlands explicó. “No se almacena información personal en las tarjetas de todos modos,” el agregó.

Sin embargo, aquí en TechRadar no estamos totalmente convencidos por el tranquilizador oficial de TranSYS y TfL. En un sector donde la confianza del consumidor con respecto a la seguridad es de importancia crítica, no esperamos escuchar nada menos..

Fort Knox

La dura verdad es que, a pesar de lo duro que los operadores promocionan su impecable registro de seguridad, la investigación de Karston Nohl y sus colegas demuestra que la tecnología RFID no es del todo impenetrable. Tampoco es probable que sea.

Dicho esto, ciertamente tampoco hay necesidad de un pánico al por mayor. A menos que sea un investigador privado que trabaje en una asignación de infidelidad, se puede obtener muy poco, si acaso, algo extrayendo los datos personales de viaje de los usuarios individuales de Oyster..

¿Son las tarjetas inteligentes lo suficientemente inteligentes??

No, la verdadera amenaza a la seguridad surge cuando se combinan múltiples servicios en una sola tarjeta inteligente equipada con RFID en nombre de "conveniencia". Cuando las tarjetas inteligentes llevan los datos bancarios de los usuarios, así como su pase de viaje, se convierten instantáneamente en un objetivo mucho más lucrativo..

El año pasado, TfL en relación con Barclaycard lanzó Barclaycard OnePulse. Esta tarjeta inteligente 3 en 1 se triplica como un pase de transporte, una tarjeta de pago 'de un solo toque' de bajo nivel y una tarjeta de débito con chip y PIN estándar.

Si bien aún no ha habido informes de que se haya comprometido la tarjeta OnePulse, es exactamente el tipo de tarjeta inteligente equipada con RFID en la que estaría interesado el inframundo criminal experto en tecnología..

Parece que la tecnología RFID se convertirá en un campo de batalla tecnológico más, donde los fabricantes se encuentran bajo una presión enorme para mantenerse un pie por delante de los piratas informáticos..