La Patrulla Fronteriza de EE. UU. No ha validado los datos del pasaporte electrónico durante años

Los pasaportes, como cualquier identificación física, pueden ser alterados y falsificados. Eso es en parte por qué durante los últimos 11 años Estados Unidos ha puesto chips RFID en el panel posterior de sus pasaportes, creando los llamados pasaportes electrónicos. El chip almacena su información de pasaporte -como nombre, fecha de nacimiento, número de pasaporte, su foto e incluso un identificador biométrico- para verificaciones fronterizas rápidas y legibles por máquina. Y aunque e-Passports también almacena una firma criptográfica para evitar falsificaciones o falsificaciones, resulta que a pesar de tener más de una década para hacerlo, US Customs and Border Protection no ha implementado el software necesario para realmente verificarlo.

Esto significa que desde 2006, un pirata informático experto podría alterar los datos en un chip de pasaporte electrónico, como el nombre, la foto o la fecha de caducidad, sin temor a que la verificación de la firma alertaría a un agente fronterizo de los cambios. En teoría, eso podría ser suficiente para ingresar a países que permiten controles fronterizos completamente electrónicos, o incluso para pasar un agente de patrulla fronteriza a los EE. UU.

«La idea de estas cosas es que se supone que proporcionan cierta seguridad electrónica adicional sobre un pasaporte estándar, que puede falsificarse utilizando técnicas tradicionales», dice Matthew Green, un criptógrafo de la Universidad Johns Hopkins. «La firma digital proporcionaría esa garantía. Pero si no está marcada, no es así».

Una carta a CBP el jueves de los senadores Ron Wyden de Oregon y Claire McCaskill de Missouri destaca esta deficiencia crucial. Más de 100 países ahora ofrecen pasaportes que vienen con un chip digital, y menos de la mitad de ellos incluyen la capacidad de verificar la integridad de los datos mediante una firma digital. Pero Wyden y McCaskill subrayan que, si bien los Estados Unidos exigen que los países incluidos en el programa Visa Waiver pongan un chip en sus pasaportes, no han logrado completar su propio programa de pasaporte electrónico.

«CBP no tiene el software necesario para autenticar la información almacenada en los chips de e-Passport», escribieron los dos senadores. «Específicamente, CBP no puede verificar las firmas digitales almacenadas en el e-Passport, lo que significa que CBP no puede determinar si los datos almacenados en los chips inteligentes han sido falsificados o falsificados».

La situación parece particularmente vergonzosa dado que los Estados Unidos lideraron la promoción de los pasaportes electrónicos en todo el mundo. «Supuse que verificarían esto», dice Martijn Grooten, investigador de seguridad de la plataforma de información y pruebas Virus Bulletin. «Puede causar algunas quejas entre los países en el programa Visa Waiver: Estados Unidos ha exigido que ofrezcan pasaportes electrónicos, y luego solo implementaron el sistema parcialmente. Es un poco vergonzoso».

«Supuse que verificarían esto».

Martijn Grooten, Virus Bulletin

Peor aún, DHS y CBP conocen el problema desde hace al menos ocho años; la Oficina de Responsabilidad Gubernamental emitió un informe en 2010 que detalla la necesidad de implementar la verificación de firmas para pasaportes electrónicos. «DHS no tiene la capacidad de verificar completamente las firmas digitales porque … no ha implementado la funcionalidad del sistema necesaria para realizar la verificación». GAO concluyó en el momento. «La seguridad adicional contra falsificación y falsificación que podría proporcionarse mediante la inclusión de chips de computadora en pasaportes electrónicos emitidos por Estados Unidos y países extranjeros … no se ha materializado por completo».

Casi una década después, la lista de proyectos en curso del Inspector General del DHS que requieren supervisión aún no incluye el despliegue del software para la verificación de firmas. Aduanas y Protección de Fronteras de los EE. UU. No devolvió las solicitudes de comentarios de WIRED.

El atraco no sorprende a los observadores de seguridad fronterizos desde hace mucho tiempo. «Si miras el historial de DHS al tomar propuestas de la etapa RDT & E a través de la validación y el despliegue, es un historial horrible», dice Patrick Eddington, un analista de política de seguridad nacional y libertades civiles en el Instituto Cato. «El DHS y sus componentes gastan una gran cantidad de su tiempo y dinero en proyectos costosos que generalmente tienen un nivel mucho más alto de interés en el Congreso que este asunto particular del pasaporte electrónico».

Investigadores como Grooten, de Virus Bulletin, señalan que, incluso sin la validación de firmas que garantiza la integridad de los datos, aún se necesitaría habilidad técnica para manipular la información en un chip RFID de e-Passport. Y, de hecho, el uso de un documento alterado digitalmente en un borde también requeriría la manipulación de documentos físicos y la ingeniería social. Pero la piratería de RFID es un campo desarrollado , y los investigadores incluso han analizado específicamente la manipulación del pasaporte electrónico y los fallos en su implementación . Los investigadores han tenido éxito especialmente clonando chips e-Passort reales y luego trabajando fuera de los clones para construir un documento de acompañamiento falso.

«Es razonable adivinar que la mayoría de los agentes de pasaportes pasan por lo que aparece en sus pantallas, porque es electrónico y supuestamente confiable», dice Green de Johns Hopkins. «Así que podría hacer cualquier cosa, desde falsificar la fecha de vencimiento de un pasaporte hasta cambiar completamente todos los datos, incluida la imagen, que el oficial de pasaportes revisa. Si no verifican dos veces la versión en papel, no lo notarían».

Sin la capacidad de validar la firma de un pasaporte electrónico, CBP está dejando una exposición que los analistas dicen que costaría en algún lugar en los bajos millones de dólares para resolver. De todos los frutos bajos en las deficiencias de seguridad del gobierno, este puede ser el más bajo.

Ciudad fronteriza

Lee mas

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.