viernes, 28 de enero de 2011

Más sobre el problema de la privacidad en la biblioteca automatizada

El uso de la identificación RFID se extiende en las bibliotecas:
En la foto, niños muestran orgulloso sus tarjetas
en la Biblioteca de la Reina en Auburndale
En “post” anteriores hemos hablado de las ventajas del uso de las tarjetas de identificación RFID como las que se usan en las bibliotecas hiperautomatizadas, de los problemas que podría ocasionarse con la pérdida de tarjetas en la que hay datos grabados y de la protección de los sistemas modernos ante el eventual extravío de una tarjeta. Esta vez queremos mantenernos en temas vinculados, pero ahora queremos centrarnos en el problema de la privacidad: ¿Hasta que punto existe la posibilidad de que una tarjeta de identificación institucional se use para obtener información privada de una persona?

Las ventajas de la tecnología RFID y las dudas sobre la privacidad
Sobre las ventajas que el uso de tarjetas de identificación RFID traen a la biblioteca hemos hablado varias veces. Puede verse, por ejemplo, el post sobre "Estadísticas de acceso en una biblioteca hiperautomatizada".

Además de la eficiencia de esta solución para identificar a los usuarios, es importante también entender por que se trata de una solución segura: Las tecnologías RFID permiten producir tarjetas con un número de identificación único grabado sobre un medio extremadamente difícil de copiar. En efecto, producir una tarjeta RFID es un problema industrial y complejo. La aproximación tecnológica es tan buena que son muchas las empresas que usan estas tecnologías en sus sistemas de control de acceso y son varios los países que han adoptado o están en proceso de adoptar RFID en sus sistemas de identificación nacional. Sin embargo, más allá de la seguridad (Ver nuestro "post" anterior sobre el tema de la seguridad) la gente se pregunta si alguien que se apodera de una tarjeta RFID puede enterarse de información privada del usuario que poseía la tarjeta. Una pregunta legítima en el mundo en que vivimos.

Respuestas incorrectas
Ante la duda planteada sobre la posible falta de privacidad la primera respuesta que a veces se da es que leer la información de una tarjeta RFID no es algo trivial. En efecto, se requiere de una instrumentación especializada para leer la emisión que una tarjeta RFID hace de la información que contiene y por eso, no cualquier persona lo podría hacer. Esto significa que no es suficiente tener una tarjeta al alcance de la mano para poder leerla.  Pero observemos que no se resuelve así el problema: la duda permanece abierta y es pertinente porque una persona con el conocimiento y el acceso a los equipos adecuados podría leer la información grabada en una tarjeta RFID.

La segunda respuesta que muchas veces se da es que la información podría estar encriptada en la tarjeta y por tanto, protegida contra intentos de uso indebido. Esto significa que no es suficiente tener conocimientos e instrumentación de ingeniería para leer una tarjeta de RFID, hace falta poder desencriptar la información. Si antes escuchábamos que no cualquier persona puede leer el contenido de una tarjeta RFID, ahora escuchamos que no cualquier buen ingeniero, podría tener acceso real a su contenido, por lo que la seguridad aumenta con las dificultades para decodificar. Pero, como puede verse, el problema permanece aún:

Las dudas siguen siendo relevantes ya que podría darse el caso de que alguien tuviese los medios de leer la tarjeta RFID y además tener acceso al conocimiento y la capacidad de cómputo para descifrar la información encriptada por lo que podría obtener la información grabada en la tarjeta. No se trata de que extraer la información sea difícil, o extremadamente difícil, se trata de que sea imposible.

La auténtica solución al problema de la privacidad
La solución correcta y por tanto la respuesta acertada está en que los sistemas modernos y seguros no escriben información sensible en la tarjeta RFID sino que usan su código de identificación único para acceder al registro del usuario en el sistema y obtener de las bases de datos propias del sistema la información que se requiera para el movimiento transaccional de la institución. Es decir, ya no es que es difícil, sino se trata de que resulta imposible leer información privada de una tarjeta porque garantizamos que en esa tarjeta tal información no está grabada.

De esta manera, el maligno poseedor de una tarjeta RFID extraviada o robada no podrá, literalmente, hacer nada con ninguna información del usuario y la privacidad de éste está resguardada.

Recomendación para directores de bibliotecas hiperautomatizadas
Es importante colocar en el sitio Web institucional información acerca de las condiciones de uso de las tarjetas de identificación RFID ya que, por el hecho de que muchas personas desconocen cómo estas funcionan y se usan, a veces se piensa que en las tarjetas se graba información que compromete su privacidad, a pesar de que los sistemas institucionales se diseñan precisamente para que toda la información transaccional esté en las bases de información del sistema y no en las tarjetas, para que con la pérdida, robo o mal uso de éstas no pueda comprometerse nunca la privacidad de las personas.

viernes, 21 de enero de 2011

Seguridad y privacidad en las bibliotecas hiperautomatizadas

Una tarjeta RFID

Dos de las dudas frecuentes que a algunos directores de biblioteca se les plantea en relación a la eventual adopción de tecnologías RFID en su institución tienen que ver con consideraciones de seguridad: ¿Qué ocurre si alguien pierde su tarjeta de identificación RFID? y con consideraciones de privacidad: ¿Qué tan seguro es el resguardo de la información privada que eventualmente queda guardada en la tarjeta inteligente que usan los sistemas en las bibliotecas hiperautomatizadas?. Las dudas son legítimas, por lo que dedicamos este post a comentar aspectos ligados a la seguridad y en uno próximo conversaremos acerca de la privacidad de la información cuando se usan tarjetas inteligentes RFID como mecanismo de identificación institucional, como lo hacen las bibliotecas modernas.

El problema
Un usuario puede perder su tarjeta y ello claramente puede ocasionar varios problemas: Alguien pueda usar la tarjeta perdida indebidamente y/o alguien podría leer la información contenida en la tarjeta y de esa forma apoderarse de la información privada del usuario que extravió la tarjeta. En realidad las dudas son fundadas porque en algunos sistemas este tipo de problemas pueden estar presentes, pero la verdad es que la solución es sencilla y los sistemas bien diseñados no los presentan.

Extravío o hurto de tarjeta RFID
Los sistemas mantienen en sus bases de información una asociación entre la persona y un código de identificación único residente en el chip de la tarjeta RFID o carnet, por lo que si un usuario pierde su tarjeta o se la roban, sólo hay que romper en el sistema la asociación que existe entre el usuario y la tarjeta para que ésta quede, para todo efecto práctico transaccional, inutilizada.

Hoy en día los sistemas ofrecen directamente la posibilidad de que el propio usuario anule su tarjeta usando los servicios del sistema a través de la red, por lo que ni siquiera el personal de la institución tiene que ocuparse del asunto. Este procedimiento está alineado con la tendencia moderna de colocar facilidades para que el usuario se autoatienda en todos sus requerimientos, o al menos en el mayor número de ellos.

Una vez anulada una tarjeta por el propio usuario que la extravió o a quien le fue hurtada, nadie podrá usar su carnet indebidamente. El usuario deberá tramitar otra tarjeta de identificación ante la institución, pagando la cantidad que ésta tenga establecida. El hecho de que todas sus transacciones están siempre disponibles para él en su página personal en la biblioteca permite que el usuario se asegure que su acción oportuna evitó toda consecuencia indeseada.

Otras tecnologías
Puede notarse que con otras tecnologías, como los códigos de barras o las bandas magnéticas,  no hay un código único no duplicable residente en el hardware de la tarjeta y por tanto este tipo de tarjetas no RFID si son inseguras y no protegen contra los usos indebidos. El usuario todavía puede estar protegido con un mecanismo de autoanulación de la tarjeta perdida, pero el hecho de que alguien puede duplicar con relativa facilidad su tarjeta siempre lo dejará a él, y a la institución, un poco expuestos.

Recomendación para directores de bibliotecas hiperautomatizadas
Es importante colocar en el sitio Web institucional información fácilmente asequible acerca de cómo el usuario debe proceder en el caso de que pierda o le roben su tarjeta de identificación.

viernes, 14 de enero de 2011

Las puertas de la biblioteca hiperautomatizada

Puertas RFID en la Biblioteca Pública de Madison County

Las puertas RFID son parte de la nueva generación de dispositivos que ha venido entrando a las bibliotecas recomendadas en alguna de las fases de implementación de los proyectos de hiperautomatización que son cada vez más frecuentes en el nuevo milenio. Las antecesoras de las puertas RFID fueron las puertas de tecnología EM, que se usaron en bibliotecas en las últimas décadas del milenio pasado. Externamente no hay diferencias. La forma y estética de ambas pueden ser iguales, pero la manera en que trabajan y el alcance de su funcionalidad en la biblioteca, desde un punto de vista práctico, si es muy diferente. Las anteriores sólo tenían que ver ser con la seguridad. Las nuevas, prestan mejor la función de seguridad, pero por las ventajas intrínsecas de la tecnología RFID y de los nuevos sistemas bibliotecarios, tienen más y mejores aplicaciones.

Cómo trabajan
Las puertas RFID contienen internamente lectores que pueden leer la identificación RFID en las etiquetas pegadas en los libros y en los carnets alojados en los bolsillos o carteras de las personas que usan la biblioteca. Tienen un alcance típico entre uno y dos metros y, usando varias, pueden disponerse en forma que este alcance sea mucho mayor. Suelen incorporar también detectores infrarrojos, con el objeto de detectar la entrada tanto de personas identificadas (portadoras de un carnet) como de personas no identificadas (no portadoras de carnets). Las fotografías de arriba muestran ejemplos de puertas preconstruidas con lectores RFID como las usadas en numerosas bibliotecas. Cómo pueden verse en ellas el llamarla “puertas” es realmente una metáfora cariñosa, porque no abren y cierran, sino que están siempre abiertas. Eso si, dándose cuenta de quien camina a través de ellas y qué libros lleva en la mano o en el morral o cartera.

Puertas personalizadas con lectores ocultos
Adicionalmente a las puertas de entrada convencionales preconstruidas, como las mostradas arriba, existen en el mercado lectores y antenas de RFID de gran alcance con los que se pueden diseñar e implementar soluciones de detección de entrada o de salida específicas. Este otro tipo de soluciones se usan en ambientes con un diseño interior especial que la institución quiere respetar al máximo, ocultando totalmente al usuario la presencia de los mecanismos de detección RFID.
La figura de al lado muestra un dispositivo lector como los que se emplean para este tipo de soluciones personalizadas. Estos dispositivos son pequeños y se ocultan fácilmente, de modo que no son visibles para el público y no afectan el ambiente de percepciones creado por arquitectos o diseñadores. Debe tomarse en cuenta, sin embargo, que cuando se opta por este tipo de soluciones muy personalizadas, se requiere, en forma adicional a dispositivos lectores y antenas, la realización de trabajos profesionales de ingeniería para el diseño, la instalación, prueba y ajustes de las soluciones específicas.

La solución integral en la biblioteca hiperautomatizada
La gran ventaja de las puertas RFID en las bibliotecas hiperautomatizadas es que la puertas detectan no sólo el estado prestado o no prestado de los libros que entran o salen, como se hacía anteriormente. Además de ello las puertas RFID detectan a las personas y se integran al funcionamiento del sistema bibliotecario proporcionando información estadística acerca de quién usa la biblioteca y acerca del movimiento del material. Son parte obligada de diseño de nuevas edificaciones inteligentes. Simplifican los trámites internos en la biblioteca porque ya no se requiere el paso de magnetización al prestar y desmagnetización al recibir, que se usaba con la vieja tecnología EM.
En síntesis, las puestas RFID son, sin duda, un componente básico de la solución tecnológica ideal en aquellos casos donde la biblioteca quiere dar la máxima flexibilidad a los usuarios con sistemas de autopréstamo, fáciles y seguros y cuando se quiere liberar el tiempo de los bibliotecarios para que puedan ocuparse de las auténticas funciones de su importante oficio.

viernes, 7 de enero de 2011

Estadísticas de acceso en una biblioteca hiperautomatizada

Ejemplo de la  tarjeta RFID
 usada en la Universidad de Chicago
Las bibliotecas muchas veces son lugares de trabajo valorados por sus usuarios donde la gente accede para trabajar, leer o estudiar, bien sea usando los recursos bibliohemerográficos residentes en las estanterías, bien sea los materiales que los propios usuarios llevan a las salas de la biblioteca. En ocasiones se dispone de varias salas, en cuyo caso el registro de la actividad por cada sala se convierte también en una variable de interés para la gestión integrada de salas o de red de bibliotecas. En nuestro "post" anterior, en diciembre, mostramos que la hiperautomatización tiene respuestas para las estadísticas de uso en estantería abierta. En este abordamos el tema de las estadísticas de acceso en bibliotecas hiperautomatizadas.

Tecnologías para gestionar el acceso y las estadísticas de acceso
¿Quién visita la biblioteca?  ¿Cómo varía el uso de la biblioteca o de sus salas en las distintas épocas del año? Son ejemplos de preguntas que conducen a  una información que siempre es relevante en la gestión. También, y en no pocos casos, la información de entrada a la biblioteca o a sus salas internas puede ser interesante desde el punto de vista de la seguridad, porque fundado o no, está siempre el temor de los hurtos.

Cualquiera que sea el interés, la información de entrada de la biblioteca puede obtenerse a través de distintas tecnologías: térmicas, infrarrojo, EM, etc. Hoy día cada vez más se usan tecnologías RFID en las puertas de acceso para leer automáticamente las tarjetas de identificación o carnets emitidos por la biblioteca, actualizando inmediatamente las estadísticas y permitiendo a la biblioteca o red de bibliotecas conocer cualquier variación en el uso de sus instalaciones.

La tarjeta de identificación RFID
Una tarjeta RFID tiene normalmente la apariencia de una tarjeta plástica (PVC) cualquiera. La tecnología de un microchip de RFID es pequeña y plana y queda oculta en la tarjeta que simplemente luce y tiene la calidad de una tarjeta plástica, impresa a color, resistente al uso, como la imagen ejemplo que presentamos. Las ventajas especiales de las tarjetas de identificación RFID no son evidentes con simplemente tenerlas en la mano. A diferencia de las tarjetas realizadas con otras tecnologías,  no se copian fácilmente y pueden ser leídas a distancia, sin interrumpir el paso del usuario. También permiten la combinación con otras tecnologías cuando así se desea.

Integradas a la gestión de la biblioteca, se usan en la agilización de los préstamos como hemos explicado desde distintas perspectiva en varias ocasiones:  Hiperpréstamo,  un servicio sin teclado, Hiperpréstamos, más interacciones, Autopréstamos con RFID o Autopréstamos con estantería cerrada.

Más allá de las bibliotecas
La versatilidad de las tarjetas de identificación con RFID hace que cada vez más se diseñen y usen, más allá de las bibliotecas, como tarjeta de identificación institucional, con la capacidad de emplearse instrumentalmente en un gran número de aplicaciones internas, desde control de acceso a instalaciones hasta crédito en servicios de lavandería para estudiantes universitarios, pasando por el acceso a estacionamientos.
La foto de arriba muestra, como ejemplo, la tarjeta RFID que adoptó la Universidad de Chicago desde la primavera de 2008. Entre otras aplicaciones la tarjeta se usa para la entrada a las bibliotecas, los servicios de préstamos y fotocopias, acceso a comedores, alquiler de material deportivo, servicios de salud, lavandería y bus universitario. (Más información en http://itservices.uchicago.edu/services/chicagocard/about/).

Las puertas RFID
Las puertas de tecnología RFID se usan cada vez más en el acceso y en la salida de la biblioteca y resulta interesante  que con ellas las estadísticas de acceso a la biblioteca pueden actualizarse en tiempo real. Pero lo que hay que contar sobre las puertas RFID es mucho más que lo que puede decirse en un párrafo apresurado, por lo que dejamos el tema para un próximo “post”.