Por qué los USA llevan 10 años validando pasaportes electrónicos falsos
Una década sin usar el programa adecuado. La Norteamérica ultra-preocupada por la seguridad y su fallo de seguridad.
En todo el mundo, pocos países tienen tanto celo a la hora de pasar la aduana como Estados Unidos, sobre todo tras los ataques del 11-S de 2001, momento en que el país se blindó y era más complicado para los extranjeros. A partir de 2007, varios países entre los que se incluyó Norteamérica adoptaron el pasaporte electrónico, una versión del pasaporte normal que incluye un chip RFID similar al de los DNIs actuales y las tarjetas de crédito. Un chip que tiene la misma información sobre el usuario del pasaporte, pero codificada para ser leída y comprobada con un escáner a través de una infraestructura de clave pública encargada de verificarlo.
Validando pasaportes electrónicos falsos
El uso del pasaporte electrónico se ha vuelto algo obligatorio en las fronteras estadounidenses, porque así se agiliza el trámite y las colas de entrada al país son menores. Pero los senadores americanos Ron Wyden y Claire McCaskill han destapado un gravísimo fallo de seguridad señalando que los agentes de aduanas del país no han estado usando bien el programa para verificar los pasaportes electrónicos. Y no lo han hecho durante más de una década. O sea: Estados Unidos lleva 10 años validando pasaportes electrónicos falsos.
El argumento de ambos senadores es que si los datos alojados en los chips del pasaporte no pueden ser comprobados, entonces ¿quien nos dice que el dueño del pasaporte es quien dice ser? Las medidas anti-falsificación no están implementadas en los pasaportes electrónicos, y los senadores sostienen que la CBP, la Oficina de Aduanas y Protección Fronteriza de Estados Unidos, una agencia del Gobierno que “protege contra narcotráfico, terrorismo, y tráfico ilegal de personas”, nunca ha usado las medidas de seguridad anti-falsificación y anti-manipulación que se demandan que estén implementadas en los chips de los ‘e-Passports’ porque “nunca han tenido el software adecuado”.
Un fallo conocido desde 2010
En una carta enviada a la CBP, los senadores Wyden y McCaskill han hecho notar que el fallo se conocía, ya que la CBP ha estado al tanto de este problema de seguridad desde al menos 2010, cuando la GAO (Government Accountability Office), una agencia independiente que trabaja para el congreso de los EEUU e investiga cómo se gasta el gobierno federal los dólares de los contribuyentes americanos, emitió un informe que reseñaba esta brecha en la tecnología.
“Ocho años después de esa publicación, la CBP sigue sin poseer la capacidad tecnológica para autentificar los datos digitales en los pasaportes electrónicos”. Ambos senadores piden que las aduanas del país empiecen a autentificar los datos de los e-passports a partir del 1 de enero de 2019. Por descontado la CBP se ha pronunciado ante esto, y en declaraciones a la BBC sostiene que mientras los agentes de aduanas no verifican actualmente el certificado del país de los pasaportes electrónicos, la agencia gubernamental sí que verifica los datos contenidos dentro del chip y la foto del pasaporte que se coloca sobre el escáner.
El informe de la CIA
La CBP tiene también una unidad de agentes que comprueban que la información escrita en el pasaporte coincide con lo datos del chip. Pero como sostiene un especialista de seguridad de la firma de ciberseguridad ESET, “cualquier información almacenada en un chip puede ser alterada“.
Wikileaks filtró en 2014 ademas un informe de la CIA fechado en 2011 que advertía de que no importaba que el chip del pasaporte fuese alterado, ya que se corría el riesgo de que los agentes de la CBP no pudiesen identificar que el pasaporte era falso si el país de origen del usuario adscrito a ese pasaporte no forma parte del llamado ICAO PKD, una base de datos de la Organización Internacional de Aviación Civil para la autentificación de datos de pasaportes electrónicos. A noviembre de 2017, sólo 60 de los 194 países que hay en el mundo son miembros de ella incluyendo la Unión Europea.