Más sobre el problema de la privacidad en la biblioteca automatizada

El uso de la identificación RFID se extiende en las bibliotecas:
En la foto, niños muestran orgulloso sus tarjetas
en la Biblioteca de la Reina en Auburndale

En “post” anteriores hemos hablado de las ventajas del uso de las tarjetas de identificación RFID como las que se usan en las bibliotecas hiperautomatizadas, de los problemas que podría ocasionarse con la pérdida de tarjetas en la que hay datos grabados y de la protección de los sistemas modernos ante el eventual extravío de una tarjeta. Esta vez queremos mantenernos en temas vinculados, pero ahora queremos centrarnos en el problema de la privacidad: ¿Hasta que punto existe la posibilidad de que una tarjeta de identificación institucional se use para obtener información privada de una persona?

Las ventajas de la tecnología RFID y las dudas sobre la privacidad
Sobre las ventajas que el uso de tarjetas de identificación RFID traen a la biblioteca hemos hablado varias veces. Puede verse, por ejemplo, el post sobre "Estadísticas de acceso en una biblioteca hiperautomatizada".

Además de la eficiencia de esta solución para identificar a los usuarios, es importante también entender por que se trata de una solución segura: Las tecnologías RFID permiten producir tarjetas con un número de identificación único grabado sobre un medio extremadamente difícil de copiar. En efecto, producir una tarjeta RFID es un problema industrial y complejo. La aproximación tecnológica es tan buena que son muchas las empresas que usan estas tecnologías en sus sistemas de control de acceso y son varios los países que han adoptado o están en proceso de adoptar RFID en sus sistemas de identificación nacional. Sin embargo, más allá de la seguridad (Ver nuestro "post" anterior sobre el tema de la seguridad) la gente se pregunta si alguien que se apodera de una tarjeta RFID puede enterarse de información privada del usuario que poseía la tarjeta. Una pregunta legítima en el mundo en que vivimos.

Respuestas incorrectas
Ante la duda planteada sobre la posible falta de privacidad la primera respuesta que a veces se da es que leer la información de una tarjeta RFID no es algo trivial. En efecto, se requiere de una instrumentación especializada para leer la emisión que una tarjeta RFID hace de la información que contiene y por eso, no cualquier persona lo podría hacer. Esto significa que no es suficiente tener una tarjeta al alcance de la mano para poder leerla.  Pero observemos que no se resuelve así el problema: la duda permanece abierta y es pertinente porque una persona con el conocimiento y el acceso a los equipos adecuados podría leer la información grabada en una tarjeta RFID.

La segunda respuesta que muchas veces se da es que la información podría estar encriptada en la tarjeta y por tanto, protegida contra intentos de uso indebido. Esto significa que no es suficiente tener conocimientos e instrumentación de ingeniería para leer una tarjeta de RFID, hace falta poder desencriptar la información. Si antes escuchábamos que no cualquier persona puede leer el contenido de una tarjeta RFID, ahora escuchamos que no cualquier buen ingeniero, podría tener acceso real a su contenido, por lo que la seguridad aumenta con las dificultades para decodificar. Pero, como puede verse, el problema permanece aún:

Las dudas siguen siendo relevantes ya que podría darse el caso de que alguien tuviese los medios de leer la tarjeta RFID y además tener acceso al conocimiento y la capacidad de cómputo para descifrar la información encriptada por lo que podría obtener la información grabada en la tarjeta. No se trata de que extraer la información sea difícil, o extremadamente difícil, se trata de que sea imposible.

La auténtica solución al problema de la privacidad
La solución correcta y por tanto la respuesta acertada está en que los sistemas modernos y seguros no escriben información sensible en la tarjeta RFID sino que usan su código de identificación único para acceder al registro del usuario en el sistema y obtener de las bases de datos propias del sistema la información que se requiera para el movimiento transaccional de la institución. Es decir, ya no es que es difícil, sino se trata de que resulta imposible leer información privada de una tarjeta porque garantizamos que en esa tarjeta tal información no está grabada.

De esta manera, el maligno poseedor de una tarjeta RFID extraviada o robada no podrá, literalmente, hacer nada con ninguna información del usuario y la privacidad de éste está resguardada.

Recomendación para directores de bibliotecas hiperautomatizadas
Es importante colocar en el sitio Web institucional información acerca de las condiciones de uso de las tarjetas de identificación RFID ya que, por el hecho de que muchas personas desconocen cómo estas funcionan y se usan, a veces se piensa que en las tarjetas se graba información que compromete su privacidad, a pesar de que los sistemas institucionales se diseñan precisamente para que toda la información transaccional esté en las bases de información del sistema y no en las tarjetas, para que con la pérdida, robo o mal uso de éstas no pueda comprometerse nunca la privacidad de las personas.