Resum de la Guia

sobre seguretat i privacitat

de la tecnologia RFID

INSTITUT NACIONAL DE TECNOLOGIES DE LA COMUNICACIÓ

AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES

 Edició: Maig 2010

L’Institut Nacional de Tecnologies de la Comunicació (INTECO), societat estatal adscrita al

Ministeri d'Indústria, Turisme i Comerç a través de la Secretaria d'Estat de Telecomunicacions i
per a la Societat de la Informació, és una plataforma per al desenvolupament de la Societat del
Coneixement a través de projectes de l'àmbit de la innovació i la tecnologia.
La missió d’INTECO és aportar valor i innovació als ciutadans, a les pimes, a les
Administracions Públiques i al sector de les tecnologies de la informació, a través del
desenvolupament de projectes que contribuïsquen a reforçar la confiança en els serveis de la
Societat de la Informació al nostre país, promovent a més una línia de participació internacional.
Per això, INTECO desenvoluparà actuacions, almenys, en línies estratègiques de Seguretat
Tecnològica, Accessibilitat, Qualitat TIC i Formació.
L’Observatori de la Seguretat de la Informació (http://observatorio.inteco.es) s’insereix dins la
línia estratègica d’actuació d’INTECO en matèria de Seguretat Tecnològica, sent un referent
nacional i internacional al servei dels ciutadans, empreses, i administracions espanyoles per a
descriure, analitzar, assessorar i difondre la cultura de la seguretat i la confiança de la Societat
de la Informació.
Més informació: www.inteco.es
L’Agència Espanyola de Protecció de Dades, és un ens de dret públic amb personalitat jurídica
pròpia i plena capacitat pública i privada, que actua amb plena independència de les
Administracions Públiques en l’exercici de les seues funcions, i que té per objecte la garantia del
compliment i aplicació de les previsions contingudes en la Llei Orgànica 15/1999, de 13 de
desembre, de Protecció de Dades de Caràcter Personal (LOPD) i les seues normes de
desenvolupament.
Les seues funcions són, en general, vetllar pel compliment de la legislació sobre protecció de
dades i controlar la seua aplicació –en especial pel que fa als drets d’informació, accés,
rectificació, oposició i cancel·lació de dades- atendre les peticions i reclamacions que puguen ser
formulades per les persones afectades per aquesta qüestió i la potestat sancionadora de les
infraccions que puguen ser comeses en la matèria, així com la recollida de dades estadístiques i
informar els projectes de normes que incidisquen en matèries de protecció de dades, així com
dictar instruccions i recomanacions d’adequació dels tractaments a la LOPD i seguretat i control
d’accés als fitxers.
Més informació: http://www.agpd.es

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 2 de 13

ÍNDEX

1 LA TECNOLOGIA RFID.................................................................................. 4

1.1 Què és la Tecnologia RFID?.................................................................. 4

1.2 Com funciona? ....................................................................................... 4

1.3 Beneficis de la tecnologia RFID............................................................ 5

2 USOS I APLICACIONS D’RFID ...................................................................... 6

3 REGULACIÓ I ESTANDARITZACIÓ .............................................................. 6

3.1. Electronic Product Code ....................................................................... 6

3.2. Estàndards ISO RFID ............................................................................. 7

4 ALTRES SISTEMES D’IDENTIFICACIÓ AUTOMÀTICA ............................... 7

5 RISCOS DE L’ÚS D’RFID ............................................................................... 8

5.1. Riscos per a la seguretat....................................................................... 8

5.2. Riscos per a la privacitat....................................................................... 9

6 COMPLIMENT NORMATIU ............................................................................ 9

7 RECOMANACIONS PER A USUARIS ......................................................... 10

8 RECOMANACIONS PER A PROVEÏDORS.................................................. 10

8.1. Bones pràctiques per a garantir la seguretat .................................... 11

8.2. Bones pràctiques per a garantir la privacitat .................................... 11

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 3 de 13

1 LA TECNOLOGIA RFID
1.1 QUÈ ÉS LA TECNOLOGIA RFID?
La identificació per ràdio freqüència o RFID és una tecnologia que permet identificar
automàticament un objecte gràcies a una ona emissora incorporada en el mateix que
transmet la radiofreqüència de les seues dades identificatives.

L’objecte a identificar conté una microemissora de ràdio (denominada `tag´ o etiqueta)

que actualment són prou petites com per a tenir la forma d’etiquetes adhesives.

1.2 COM FUNCIONA?

L’etiqueta RFID (en què prèviament s'han gravat les dades identificatives de l'objecte a
què està adherida) genera un senyal de ràdio que un lector físic s'encarrega de rebre,
transformar-la en dades i transmetre aquesta informació a l'aplicació informàtica
específica que gestiona RFID (denominada ‘middleware’).

1.1.1 Components d’un sistema RFID

• Etiqueta RFID. L’etiqueta RFID està composta per una antena, un transductor
ràdio i un microxip.

• Lector d’RFID. S’encarrega de rebre la informació emesa per les etiquetes i

transferir-la al middleware o subsistema de processament de dades.

• Subsistema de processament de dades o middleware. És un programari que

resideix en un servidor i que serveix d’intermediari entre el lector i les aplicacions
empresarials.

• Programadors RFID. Dispositius que realitzen l’escriptura d’informació sobre

l’etiqueta RFID.

Il•lustració 1: Esquema general de funcionament de la tecnologia RFID

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 4 de 13

1.1.2 Tipus d’etiquetes
Segons la seua font d’energia:

• Etiquetes RFID passives: No necessiten una font d’alimentació interna. Abast

entre uns pocs mil·límetres i 6-7 metres. Les més econòmiques del mercat. Són
les de menor mida i sovint s’insereixen en adhesius.

• Etiquetes RFID actives: Posseeixen una bateria interna. La seua cobertura de

difusió és més gran i la seua capacitat d’emmagatzematge també és superior.
Aquestes etiquetes són molt més fiables i segures.

• Etiquetes RFID semipassives: D’una banda, activa el xip utilitzant una bateria,
però per una altra, l’energia que necessita per comunicar-se amb el lector l’envia
el lector mateix en les seues ones de ràdio.

Segons la seua freqüència:

Taula 1: Bandes de freqüència utilitzades en la tecnologia RFID

Freqüència Denominació Rang

125 kHz – 134 kHz LF (Baixa Freqüència) Fins a 45 cm.
13,553 MHz – 13,567 MHz HF (Alta Freqüència) D’1 a 3 m.
400 MHz – 1.000 MHz UHF (Ultra Alta Freqüència) De 3 a 10 m.
2,45 GHz – 5,4 GHz Microones Més de 10 m.
Font: Red.es

1.3 BENEFICIS DE LA TECNOLOGIA RFID

La tecnologia RFID s’ha adreçat principalment al sector logístic, no obstant això els
beneficis que proporciona s’estenen a altres camps. A causa de les següents
característiques:

• Conté un gran volum de dades en un mecanisme de proporcions reduïdes.

• Automatitza els processos per mantenir la traçabilitat.

• Facilita l’ocultació i col·locació de les etiquetes en els productes.

• Permet emmagatzemar dades sense tenir contacte directe amb les etiquetes

• Redueix els costos.

• Identifica unívocament els productes.

• Facilita la retirada d’un determinat producte del mercat.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 5 de 13

2 USOS I APLICACIONS D’RFID
Són molts i les previsions apunten que creixen en entorns en els quals la identificació
automàtica, fiable, ràpida i barata puga aportar un valor afegit, com per exemple:

• En botigues d’articles per identificar els productes.

• Per al control d’accés i cobrament en transports públics.

• Identificació electrònica de mascotes mitjançant la implantació subcutània d’un

microxip.

• Pagament automàtic de peatges.

• En les biblioteques, per a catalogació, ordenació i protecció antirobatori de llibres.

• En els supermercats, per a realitzar la facturació automàtica de tot un carro de

productes sense moure’ls.

• Per a presa de temps en esdeveniments esportius.

• En l’àmbit sanitari, per al control de medicaments, seguiment d’instrumental,

identificació de mostres mèdiques o el seguiment de pacients en centres de salut.

• Com a control d’accés en zones residencials.

• En la logística, emmagatzematge i distribució, en general.

• En el sector alimentari, a fi que els agricultors puguen garantir la traçabilitat dels

seus productes des de la sembra fins al consumidor final.

• En l’àmbit militar, el Departament de Defensa dels EUA exigeix als seus

proveïdors l’ús de la tecnologia RFID en la cadena de subministrament.

3 REGULACIÓ I ESTANDARITZACIÓ
Possibilita que existisca interoperabilitat entre aplicacions i ajuda a que els diferents
productes no interferisquen, independentment del fabricant.

3.1. ELECTRONIC PRODUCT CODE

L’organització EPC Global és l’organització mundial que assigna aquests codis RFID a
les entitats i empreses, assegurant-se que el nombre assignat siga únic.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 6 de 13

3.2. ESTÀNDARDS ISO RFID
Els estàndards RFID tracten els següents temes:

• Protocol d’interfície aire

• Contingut de les dades.

• Conformitat.

• Aplicacions.

4 ALTRES SISTEMES D’IDENTIFICACIÓ AUTOMÀTICA

La majoria de les tecnologies per a la identificació automàtica estan àmpliament
acceptades pels usuaris i són molt conegudes. Atés que la tecnologia RFID està
destinada a substituir-les en citarem alguns.

Codis de barres

És el sistema d’identificació més utilitzat. Es tracta d'un codi comprés per una sèrie de
barres i espais configurats paral·lelament. La seqüència pot ser interpretada de forma
numèrica o alfanumèrica, és llegida per un escàner òptic i processada per una
computadora.

Es preveu que ambdues tecnologies coexistisquen però, en general, la tecnologia RFID

s’imposarà als codis de barres, ja que estalvia temps i personal, és més eficient i
minimitza les pèrdues i els errors.

Reconeixement Òptic de Caràcters (OCR)

Identifica automàticament símbols o caràcters a partir d’una imatge per emmagatzemar-la

en forma de dades. Algunes de les seues aplicacions, entre d’altres, són: reconeixement
de matrícules a través de radars, registre de xecs per part dels bancs, etc.

La lectura amb OCR només es mantindrà en situacions en les quals siga imprescindible
donat que la tecnologia RFID és clarament superior.

Sistemes biomètrics

Són sistemes que identifiquen persones per comparació de característiques unívoques.

La seua qualitat principal és que transformen una característica biològica, morfològica o
de comportament de l'individu en un valor numèric i l'emmagatzemen per a la seua
comparació posterior.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 7 de 13

Els sistemes biomètrics aporten una gran versatilitat en la identificació però necessiten
del maneig d’informació privada de l’individu. En canvi, la tecnologia RFID permet utilitzar
menys quantitat d'informació.

Targetes intel·ligents

Una targeta intel·ligent o smart card, és un sistema d’emmagatzematge electrònic de

dades amb capacitat per a processar-les (microprocessor card). Per seguretat està
instal·lat dins d’una estructura de plàstic similar, en forma i mida, a una targeta de crèdit.

Aquestes no contenen bateries, sent el lector, per contacte elèctric, el que subministra
l'energia necessària per al seu funcionament; al contrari de la tecnologia RFID que no
requereix contacte amb els dispositiu de lectura.

5 RISCOS DE L’ÚS D’RFID

La tecnologia RFID planteja noves oportunitats de millorar l’eficiència i comoditat dels
sistemes d’ús diari. Aquestes millores, que afecten a moltes facetes de la vida, des de la
personal a la professional, a vegades plantegen nous riscos per a la seguretat i nous
reptes per evitar-los.

5.1. RISCOS PER A LA SEGURETAT

Els riscos per a la seguretat de la tecnologia RFID són aquells derivats d’accions
encaminades a deteriorar, interrompre o aprofitar-se del servei de forma maliciosa.

• Suplantació: Enviament d’informació falsa que sembla ser vàlida.

• Inserció: Inserció de comandaments executables en la memòria de dades d'una

etiqueta on habitualment s’esperen dades.

• Repetició: Enviament al lector RFID d’un senyal que reprodueix el d’una etiqueta
vàlida. El receptor acceptarà com a vàlides les dades enviades.

• Denegació de servei (DoS): Satura el sistema enviant-li de forma massiva més

dades de les quals aquest és capaç de processar.

• Desactivació o destrucció d’etiquetes: Deshabilita les etiquetes RFID

sotmetent-les a un fort camp electromagnètic.

• Clonació de la targeta RFID: Es copien les dades i es repliquen en altra etiqueta

RFID per a ser utilitzades posteriorment.

• Risc d’atac mitjançant injecció de llenguatge de consultes SQL.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 8 de 13

 • Codi maliciós (malware).

• Spoofing (falsejament d’identitat): Cas particular per a etiquetes actives (de

lectura i escriptura). En aquest cas s’escriuen dades reals en una etiqueta RFID
per suplantar la informació original.

• Atacs Man in the Middle (MIM): Vulnera la confiança mútua en els processos de
comunicació i reemplaça una de les entitats

• Inutilització d’etiquetes: Si es sotmet l’etiqueta RFID a un fort camp

electromagnètic aquesta s’inhabilita.

5.2. RISCOS PER A LA PRIVACITAT

Aquest consisteix en l’accés no autoritzat a informació personal dels usuaris utilitzant
la tecnologia RFID. En aquest cas, es tracta d’atacs que utilitzen tècniques similars a les
vistes en els riscos per a la seguretat però que accedeixen a aquest tipus d’informació, bé
perquè està inclosa en l’etiqueta, bé perquè està associada a la mateixa i s’accedeix al
sistema central per consultar-la.

• Accessos no permesos a les etiquetes. Les etiquetes RFID poden contenir

dades personals, com ara noms, dades de naixement, adreces, etc.

• Rastreig de les persones i/o de les seues accions, gustos, etc. Una persona
pot ser víctima d’observació dels seus moviments i gustos, en utilitzar aquesta
tecnologia en les seues compres i desplaçaments en transport públic.

• Ús de les dades per a l’anàlisi de comportaments individuals. Anàlisi de

gustos i preferències de clients per dirigir tàctiques de màrqueting.

6 COMPLIMENT NORMATIU
Com a norma general es procurarà no emmagatzemar dades personals en les
etiquetes, evitant així una bona part dels riscos.

Per tant, encara que existisca una regulació específica, la Llei Orgànica 15/1999 de 13
de desembre de Protecció de Dades de Caràcter Personal (LOPD) és directament
aplicable a les RFID. Per això els productors o desenvolupadors d’aquest tipus de
productes han de tenir molt en compte que:

1) S’ha de realitzar un judici previ sobre la necessitat d’utilitzar la tecnologia RFID,

definir clarament les finalitats i usos de les mateixes.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 9 de 13

 2) La informació facilitada als afectats:

a) Ha de ser clara.

b) Ha d’indicar l’ús d’etiquetes.

c) Ha d’indicar el mode de desactivar les etiquetes.

d) Ha d’incloure tots els continguts requerits per l’article 5.1 LOPD.

3) El consentiment ha de ser previ, lliure, específic i informat.

4) Ha de garantir-se la seguretat de tots els recursos relacionats amb els tractaments

de dades personals vinculats a les RFID.

7 RECOMANACIONS PER A USUARIS

Els usuaris han de conéixer la tecnologia RFID. Per evitar accessos indesitjats existeixen
aquests sistemes:

• Utilització d’etiquetes watchdog (en anglés “gos guardià”). Aquestes etiquetes

informen d’intents de lectura i escriptura que es facen en la seua àrea d’actuació.

• Aïllament. Evitant la lectura de les etiquetes llevat dels moments que es vulga.

• Ús de dispositius que creen una zona segura entorn de l’usuari. Es denominen

tallafoc RFID o també inhibidors de radiofreqüència.

• La inutilització de les etiquetes una vegada s’haja realitzat la transacció,

destruint-les físicament o mitjançant el comandament KILL.

8 RECOMANACIONS PER A PROVEÏDORS

Les recomanacions es resumeixen en tres principis generals, que són els següents:

• No centrar-se només en les etiquetes o la tecnologia a l'hora de valorar un

sistema RFID. Cal analitzar el sistema en el seu conjunt.

• La privacitat i seguretat s’ha de “treballar” des del plantejament inicial del sistema,
considerant-lo una peça clau del mateix.

• Cal el màxim compromís, participació i consentiment dels usuaris del sistema.

Això s’aconsegueix mitjançant el coneixement i la participació.

D’aquesta manera, les directrius per a les organitzacions a fi de protegir la privacitat, són
quatre:

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 10 de 13

 • Informació als consumidors de la presència d’etiquetes RFID en els productes.

• Elecció. En conéixer la presència de les etiquetes, els consumidors podran

treure-les o descartar la compra.

• Educació. El consumidor ha de conéixer l'ús i funcionament correcte de les

etiquetes electròniques.

• Registre. Les empreses han d’implantar i publicar les seues polítiques respecte a
això.

8.1. BONES PRÀCTIQUES PER A GARANTIR LA SEGURETAT

Existeixen solucions que permeten reforçar la seguretat dels sistemes RFID millorant les
seues característiques tècniques. A més, caldrà un enfocament específic sobre la
seguretat global de cada sistema.

• Reanomenat: Evitant la suplantació d’una etiqueta o atacs similars.

• Xifrat: Impedint que les parts no autoritzades puguen entendre la informació

enviada utilitzant tècniques de xifrat de la informació.

• Autenticació: Evitant així la falsificació de lectors o etiquetes, havent d’introduir-

se una clau secreta per validar la comunicació lector-etiqueta.

• Limitar la informació continguda en les etiquetes.

• Altres solucions no tècniques: Totes les mesures tècniques esmentades

anteriorment hauran de ser acompanyades de la supervisió humana.

8.2. BONES PRÀCTIQUES PER A GARANTIR LA PRIVACITAT

• Notificar l’ús d’RFID, de manera clara i senzilla.

• Donar sempre a conéixer als usuaris quan, on i per què es llegirà un tag.

• Tenir una política de privacitat relativa a l’obtenció, ús i eliminació de la

informació personal associada a RFID, que haurà de ser pública per als usuaris.

• Disposar de personal format en RFID que conega les característiques del

sistema instal·lat i accessible al públic.

• No emmagatzemar en els tags RFID informació personal.

• Retirar, destruir o desactivar els tags quan hagen complit la seua missió.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 11 de 13

 • Oferir a l’usuari facilitats per a la retirada, destrucció o desactivació dels
tags associats a productes quan va a abandonar les instal·lacions.

• No cedir a terceres parts informació associada a RFID.

• Realitzar auditories de seguretat de sistemes RFID de forma periòdica per a

garantir el seu nivell de seguretat.

Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 12 de 13

 Instituto Nacional
de Tecnologías
de la Comunicación

H www.inteco.esH www.agpd.es
Guia INTECO-AEPD sobre la seguretat i privacitat de la tecnologia RFID. Pàgina 13 de 13