Seguritecnia 385

32 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad los tres pilares definidos de Seguri- dad. Agrupando por características si- milares cada una de ellas, descubri- mos que llegamos a una clasificación tradicional de cómo organizar en con- juntos de iniciativas homogéneas las nuevas necesidades de seguridad fí- sica, seguridad lógica y cumplimiento normativo. En el diagrama expuesto, queda claro que existen interdependencias entre unas y otras iniciativas y que, por tanto, existe una vía para encontrar si- nergias y eficiencias entre las mismas. Uno de los ejemplos más claros, y que cada vez adoptan más compañías, es- taría en la convergencia práctica entre la seguridad física –dominada por el control de intrusión, protección ante robos y mermas– y este nuevo bloque de nuevas tecnologías. Por ello, como primer paso hacia la gestión eficiente de la seguridad en es- tos procesos cada vez más convergen- tes, los responsables de Seguridad deben valorar la presen- cia de estos concep- tos en sus mapas de riesgos y cuadros de mandos, no solo de- finiendo la estrategia que los rige y los re- quisitos de seguridad a soportar, sino man- teniendo un control basado en auditorías técnicas y operati- vas de estos proce- sos. S cesidades del negocio, qué nivel de seguridad reque- rimos, ya que cada uno de ellos tiene sus ventajas e in- convenientes: ▪ Inclusión de contraseñas estáticas en los tags , que únicamente nos aportaría un nivel de seguridad mo- derado. ▪ Utilización de TID (Identi- ficador de Transporte) úni- cos, códigos HW almace- nados en los tags RFID, que aportan también un nivel de seguridad mode- rada, ya que actualmente pueden ser fácilmente clonados. ▪ Chip fingerprints . Se trata de una tec- nología muy innovadora que se basa en la medición de un fingerprint único de cada chip. Sin embargo, es una tec- nología no probada y que se está co- mercializando recientemente. Propor- cionará un nivel de seguridad elevado. ▪ Utilización de criptografía: Se basa en el intercambio seguro de información basado en criptografía. Proporciona un nivel de seguridad muy elevado, pero a un coste también elevado. Los tres soportes de la seguridad En definitiva, es necesario no desesti- mar los riesgos que acompañan a las nuevas tecnologías y tener en cuenta frecuencia utilizada que imposibilite las comunicaciones RFID, invalidando los mecanismos de tracking automático y forzando a que el almacén o fábrica funcione en modo manual, con los cos- tes de operación asociados. Las lecturas no autorizadas hacen po- sible la identificación remota de la infor- mación del RFID-EPC, incluyendo datos como marcas y modelos, desde cen- tenares de metros de distancia depen- diendo de las condiciones y tecnolo- gía utilizada, permitiendo a un poten- cial atacante conocer, por ejemplo, qué carga transporta un vehículo. En este sentido, existen iniciativas fo- calizadas en la protección del propio producto, como por ejemplo el pro- yecto STOP, de lucha contra la falsifica- ción de marcas. Una de las soluciones que se plantean en este programa es la utilización de tags UHF RFID pasivos asociados a cada producto vendido. Finalmente, la última amenaza su- pone la falsificación o clonación de las etiquetas, engañando al sistema auto- mático de tracking . Este tipo de ataques no son complejos y pueden llevarse a cabo con dispositivos de apenas 10 euros de coste. Para prevenir estas amenazas, existen distintas aproximaciones que necesitan que durante el proceso de diseño de la plataforma se determine, según la ne- Dispositivo de clonación de tags RFID. Valor aproxi- mado: 10 euros.