Las etiquetas de identificación por radiofrecuencia RFID se han vuelto casi omnipresentes: fíjelas cuidadosamente y las notará en los pasaportes, tarjetas de crédito, libros de la biblioteca, pases de acceso a la oficina e incluso gatos domésticos.
La tecnología, que permite la identificación rápida y automatizada de objetos físicos, también es un elemento básico para muchas industrias: las fábricas y almacenes lo usan para rastrear el inventario y administrar las cadenas de suministro, las compañías farmacéuticas lo implementan para rastrear medicamentos y los servicios de mensajería lo usanetiquetar entregas. Pero, ¿qué pasaría si la tecnología RFID se viera comprometida?
"Una violación de seguridad en las aplicaciones RFID podría filtrar información valiosa sobre objetos físicos a terceros no autorizados", dice Li Yingjiu, profesor asociado de la Escuela de Sistemas de Información de la Universidad de Administración de Singapur SMU. Profesor Li, experto en seguridad y privacidad RFID, así como otros aspectos de la seguridad móvil, se esfuerza por construir mejores salvaguardas en la tecnología.
Mejora de los protocolos de seguridad RFID
Debido a que las etiquetas RFID funcionan transmitiendo información a los lectores electrónicos RFID, pueden ocurrir violaciones de seguridad si los piratas informáticos escuchan esta conversación y logran obtener acceso o alterar la información.
Las consecuencias de tal ataque podrían ser graves, dice el profesor Li. "En el contexto de la gestión de la cadena de suministro, por ejemplo, esto significa que el espionaje industrial puede obtener información confidencial sobre niveles de inventario, volúmenes comerciales, socios comerciales e incluso planes comerciales," el explica.
Para proteger las comunicaciones entre etiquetas y lectores, el profesor Li y su equipo están diseñando y probando nuevos protocolos RFID con características de seguridad mejoradas, como los del estudio de 2010, "Logrando alta seguridad y eficiencia en las cadenas de suministro etiquetadas con RFID", publicado enel Revista Internacional de Criptografía Aplicada . Estas estrategias incluyen hacer que la salida del protocolo sea impredecible, hacer que dos etiquetas sean indistinguibles para el pirata informático y evitar que los piratas informáticos obtengan información útil incluso si logran interactuar con las etiquetas.
Además, hay muchos casos en los que compartir información de RFID, entre proveedores y minoristas, por ejemplo, o entre varios componentes de un Internet de las cosas, tendría beneficios obvios, dice el profesor Li. Pero sin los controles de seguridad adecuados,sin embargo, la mayoría de las empresas se mostrarían reacias a poner a disposición datos valiosos. Para abordar este problema, el equipo del profesor Li también está diseñando mecanismos mejorados de control de acceso que protegen la información RFID cuando se comparte en Internet.
seguridad del teléfono inteligente para pruebas de estrés
De hecho, llevamos RFID en nuestros bolsillos; los sistemas de pago móviles como Apple Pay y Google Wallet utilizan una forma especializada de la tecnología. Dada nuestra creciente dependencia de los teléfonos inteligentes para las funciones cotidianas: transacciones bancarias y pagos sin contacto, por ejemplo- la seguridad móvil se ha convertido en un área de importancia crítica.
El profesor Li es particularmente hábil para detectar vulnerabilidades potenciales en los sistemas operativos de teléfonos inteligentes. En 2012, su equipo identificó una serie de ataques que los piratas informáticos podrían usar para atacar a los iPhones de Apple. El código para lanzar estos ataques, que incluía descifrado de códigos, interferenciacon o control de la funcionalidad de telefonía, y el envío de tweets sin el permiso del usuario, podría integrarse en aplicaciones de terceros que estaban disponibles en la tienda de iTunes.
El equipo reportó sus hallazgos al equipo de seguridad de Apple, y la compañía tapó estas lagunas cuando se lanzó su nuevo sistema operativo al año siguiente. También escribieron sus hallazgos en el artículo de 2013, "Lanzamiento de ataques genéricos en iOS con terceros aprobadosaplicaciones para fiestas ", que se publicó en Proceedings of Applied Cryptography and Network Security: 11th International Conference, ACNS 2013.
Más recientemente, el equipo del profesor Li también informó sobre vulnerabilidades del marco de Android y posibles ataques a Google, que luego reconoció los hallazgos del grupo SMU en sus boletines de seguridad. El equipo también ha desarrollado un conjunto de herramientas de análisis de vulnerabilidad de teléfonos inteligentes en colaboración con la compañía telefónica chinaHuawei; la empresa evaluó dos patentes derivadas de este proyecto como de "alto valor potencial".
"Vemos las oportunidades de trabajar con la industria en esta área porque es importante que los fabricantes de teléfonos inteligentes mejoren sus productos en términos de seguridad", dice el profesor Li.
Cerrar la brecha entre la academia y la industria
Hay muchas situaciones en las que los propietarios de datos pueden no confiar completamente en los proveedores de servicios, cuando almacenamos datos en servicios en la nube o los intercambiamos a través de sistemas de mensajería seguros, por ejemplo. En colaboración con el profesor Robert Deng, también en la SMU School ofSistemas de información, el profesor Li ahora está trabajando para desarrollar nuevas soluciones para el cifrado basado en atributos, una forma de cifrado que brinda a los propietarios de datos un mejor control sobre quién puede acceder a sus datos.
Las soluciones de la pareja, dice el profesor Li, que compartieron en un artículo, "Cifrado completamente seguro basado en atributos de política de claves con textos cifrados de tamaño constante y descifrado rápido", para ASIA CCS'14: Actas del 9º Simposio ACM sobreLa seguridad de la información, las computadoras y las comunicaciones tiene muchas aplicaciones en escenarios del mundo real.
Sin embargo, a pesar de su promesa, llevar esta investigación al mercado sigue demostrando ser un desafío ". Si bien podemos demostrar en teoría y utilizando prototipos de prueba de concepto que nuestra solución es mejor que las soluciones existentes en términos deseguridad y flexibilidad, todavía es difícil convencer a la industria para que lo adopte sin convertirlo en un producto final ", señala el profesor Li.
De hecho, uno de los mayores desafíos del campo de seguridad de datos es la brecha cada vez mayor entre la academia y la industria, dice. Si bien las personas en la industria están familiarizadas con el mercado, en su mayoría están aisladas de la investigación de vanguardia; por el contrario, los académicos pagan demasiadoatención a la investigación y no suficiente para comprender el mercado.
"El futuro de la seguridad de los datos, en mi visión, es cómo reducir la brecha y cerrar las dos comunidades, que tienen incentivos y criterios de evaluación completamente diferentes", dice el profesor Li. Por su parte, agrega, está interesado enexplorar formas de aumentar el impacto industrial de su investigación.
Fuente de la historia :
Materiales proporcionado por Universidad de Singapur de gestión . Original escrito por Sim Shuzhen. Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cite esta página :