Investigadores de la Universidad de Luxemburgo han descubierto una falla en el estándar de seguridad de los pasaportes electrónicos biométricos que se ha utilizado en todo el mundo desde 2004. Este estándar, OACI 9303, permite a los lectores de pasaportes electrónicos en los aeropuertos escanear el chip dentro de un pasaporte e identificar al titular.

La mayoría de los pasaportes actuales utilizan el estándar ICAO 9303, emitido por la Organización de Aviación Civil Internacional (OACI). El estándar está diseñado para garantizar que la privacidad y la desvinculación del titular del pasaporte estén protegidas al más alto grado. La desvinculación garantiza que un atacante no pueda distinguir si dos elementos están estrechamente relacionados.

Dr. Ross Horne, Prof. Sjouke Mauw, Doctor. el candidato Zach Smith y el estudiante de maestría Ihor Filimonov probaron el estándar. Descubrieron una falla que permite que equipos específicos no autorizados accedan a los datos del pasaporte. "Con el dispositivo adecuado, puede escanear pasaportes en las inmediaciones y volver a identificar a los titulares de pasaportes observados anteriormente, realizar un seguimiento de sus movimientos, "El Dr. Horne explica." Por lo tanto, los titulares de pasaportes no están protegidos contra el seguimiento de sus movimientos por parte de un observador no autorizado ".

Límites e implicaciones del defecto.

Un dispositivo no autorizado que escanea un pasaporte a varios metros puede identificar y realizar un seguimiento de ese pasaporte, aunque no pueda leer el pasaporte. Por lo tanto, la privacidad del titular del pasaporte es vulnerable a posibles ataques, aunque la falla no permite a los atacantes leer toda la información de un pasaporte determinado o comprometer la información biométrica almacenada en un chip dentro del pasaporte.

"Como la mayoría de los pasaportes utilizan actualmente el mismo estándar, esta falla de seguridad potencialmente tiene un impacto global, "continúa el Dr. Horne. En Europa, una violación de seguridad de este tipo probablemente viola los requisitos del marco de protección de datos de la UE. Los gobiernos tienen la responsabilidad de proteger la privacidad individual y garantizar que los documentos oficiales sean a prueba de balas contra tales ataques.

El equipo de investigadores compartió los resultados de sus pruebas con la OACI en junio de 2019. También describieron varios enfoques para restaurar la protección de la privacidad, basado en el supuesto de que los fabricantes de lectores de pasaportes electrónicos deben asumir la responsabilidad de garantizar la protección de la privacidad de los titulares de pasaportes.

Los resultados del estudio, "Rompiendo la desvinculabilidad de la Norma ICAO 9303 para pasaportes electrónicos usando bisimilaridad, "se presentaron el martes 24 de septiembre en ESORICS 2019, una conferencia de seguridad de sistemas de alto nivel en Europa.