Urbanos de Zaragoza, la empresa que gestionaba las tarjetas bus de la ciudad (ahora, Avanza), fue alertada hace seis años de la vulnerabilidad de estos dispositivos. Fue en el 2013 y el aviso vino de la mano de un informático que pudo corroborar el fallo de seguridad en el modelo Mifare Classic. Tras ello, el experto decidió poner en conocimiento del grupo de delitos telemáticos de la Guardia Civil el hecho, que lo notificó a la empresa.
La demostración la realizó el doctor en Informática, investigador del Instituto de Investigación de Ingeniería de Aragón y profesor del Centro Universitario de Defensa, además de especialista en software y seguridad en tarjetas NFC, Ricardo J. Rodríguez. Este, después del aviso, mostró en la Noconname, una convención sobre seguridad informática celebrada en Madrid en noviembre del 2013, las circunstancias acaecidas. En la misma ponencia explicó que se puso en contacto con las autoridades competentes. «La notificación se realizó a través de la Guardia Civil y, por parte de la empresa, no recibí ningún tipo de respuesta ni nada similar. Supongo que harían evaluación de riesgos y medirían que el impacto posible era pequeño», relató.
CUESTIÓN DE CÁLCULO
Precisamente, y preguntado por cómo juzga la respuesta de la compañía, el experto consideró «lógico» el proceder desde un punto de vista empresarial. «Se calcula cuánto cuesta cambiar todas las tarjetas y cuánto fraude se está produciendo. Lo que es más barato, para adelante», detalló. Así, añadió que considera normal que a día de hoy se sigan decantando por la vigencia de este modelo, que es además el de menor coste en el mercado, antes de plantearse la sustitución de toda la tecnología, lo que probablemente resultaría más caro.
Al respecto, abundó en que, para poder modificar una tarjeta como estas «era necesario tener un móvil con unas características determinadas, que durante estos años eran complicados de encontrar». Y acerca de los tiempos actuales, también consideró «extraño» que cualquier móvil con tecnología NFC pueda utilizar la aplicación para vulnerar las tarjetas Mifare Classic.
De esta forma, considera apropiado que este modelo siga funcionando a día de hoy, «aunque viendo la prevalencia de los móviles con NFC actualmente, se podría plantear algún tipo de solución, tipo app integrada en los móviles o relojes inteligentes. Creo que el ayuntamiento estaba explorando proyectos similares para sus tarjetas», evaluó.
No obstante, y sobre su aviso, precisó que no difundió ninguna vulnerabilidad, sino que esta se conoce desde que en el 2008 se publicara el algoritmo de estas tarjetas en un congreso académico internacional por parte del equipo de Flavio D. García. «NXP consideraba que manteniendo el algoritmo en secreto garantizaban la seguridad de su sistema. Esto es lo que se denomina seguridad por oscuridad, que se ha demostrado continuamente que es rotundamente falso», añadió.
Sobre si resultó difícil vulnerar el modelo, explicó que, con las herramientas adecuadas y el conocimiento necesario, no fue así, sino «cuestión de segundos», dijo. Además, uno de los peores fallos que observó en ese momento era que las tarjetas «tenían algunas claves por defecto, lo que además facilitaba el ataque. El propio fabricante recomienda que estas deberían cambiarse siempre». Por último, matizó que se trata de un problema inherente a las tarjetas Mifare Classic y no a otras como las Lazo, del tipo Mifare Plus EV1, más evolucionada.
