1 63 Table of Contents 65 156

Seguritecnia 469

64 SEGURITECNIA Noviembre 2019 Protección de Infraestructuras Críticas La verdad es que tecnologías como Mifare Clasic han sido hackeadas. Por consiguiente, su encriptación ya no es segura y es posible duplicar estas tar- jetas, por lo que entendemos que la norma EN-60839 no debería acreditar este tipo de tarjetas para grados 3 y 4. Nuestra propuesta, al igual que países como Francia y Reino Unido, es adap- tar los grados a la seguridad real que aporta cada tipo de tarjeta. Una aproxi- mación realista a fecha de 2019 sería la que se puede ver en la tabla 5. 4. Lectores y factores de autentifi- cación: La norma EN-60839 establece que, en función del método de identificación que utilicemos, cumpliremos los si- guientes grados. Viendo la tabla 6, con- seguir grado 4 únicamente con una tar- jeta, por muy segura que sea, nos pa- rece insuficiente. Imaginémonos que la tarjeta se pierde y que la encuentra un descono- cido, quien puede entrar en una instala- ción crítica. Todos los mecanismos han funcionado correctamente, pero el fac- tor humano, y en este caso el descuido, ha posibilitado un acceso por parte de una persona ajena. Para evitar estas situaciones se esta- blece un modelo de verificación me- diante varios factores, los cuales se sue- len asociar a algo que tengo (tarjeta), algo que soy (biometría) y algo que sé (PIN). La combinación de ellos eleva la seguridad. Este modelo ha sido utilizado por la National Security Inspectorate en Reino Unido, y da como resultado la tabla 6. 5. Comunicación entre lector y UCA: Los lectores se comunican con la uni- dad de control de accesos (UCA) me- diante un protocolo de comunicación estándar o propietario. Este ha de ser un protocolo seguro que permita el ci- frado de los datos que transporta, lo que evitará que alguien pueda monito- rizar el tráfico de datos. Según la norma EN-60839, para cum- plir con grado 3 o 4 es necesario contar con un protocolo cifrado, lo que dejaría Tabla 4. Tabla 6. Fuente: National Security Inspectorate Code of Practice for the Design, Installation and Maintenance of Access Control Systems (Reino Unido). Tabla 5. posibilidad de encontrar varias con un mismo número. Por tanto, utilizar el CSN de la tarjeta no es seguro, inde- pendientemente de la tecnología que utilicemos. Una cifra grabada en la memoria de la tarjeta es un número aleatorio que se encripta utilizando una key que úni- camente el cliente conoce. Esta so- lución hace imposible que alguien pueda leerlo sin tener la key y que exis- tan dos tarjetas con números iguales. La robustez de la encriptación viene dada por la tecnología de la tarjeta, y su clonación es muy complicada. La norma EN-60839 dice que cual- quier tarjeta que haga uso del CSN como identificador solo cumple con grado 1 y 2. Para cumplir con grado 3 y 4 ha de hacer uso de un número en- criptado en la memoria de la tarjeta (ver tabla 4).

RkJQdWJsaXNoZXIy MzA3NDY=