Para reducir sensiblemente el riesgo de fraudes y falsificaciones, los países de la Unión Europea han decidido introducir una nueva tipología de pasaportes dotados de un chip de radiofrecuencia (RFID chip) que sustituye el pasaporte “clásico”. El Luxemburgo ha empezado a emitir estos nuevos pasaportes electrónicos a fin de agosto 2006, termine adoptado a nivel Europeo.
El nuevo pasaporte electrónico presenta dos diferencias fundamentales respecto a su predecesor: el primer lugar, puede ser consultado a distancia y sin contacto físico directo entre el documento y el lector, en segundo lugar, los datos “clásicos” como el nombre, data de nacimiento y lugar de residencia serán integrados desde datos biométricos, que serán en una primera fase la registración de la foto facial y sucesivamente de las improntas digitales.
Si los nuevos pasaportes están producidos desde la Bundesdruckerei en Alemania, la registración de los datos es hecha en Luxemburgo desde el Ministerios de los Affaires Esteros. Todas las medidas técnicas y organizativas estan capaz de garantizar la autenticidad, la confidencialidad y la integridad de los datos registrados en la componente electrónica del pasaporte.
¿Por qué los pasaportes electrónicos?
La necesidad de render más seguros los documentos de identificación ha sido frecuentemente citada para impedir el uso de falsas identidades tanto en los confrontos de las autoridades públicas como en las transacciones comerciales. El concepto de pasaporte electrónico nació en el ámbito de las medidas implementadas después de los ataques terroristas en los USA el 11 septiembre 2001. Desde aquel día los controles a las fronteras han sido drásticamente reforzados y el ingreso en el país ha sido rechazado a quienquiera persona de origen extranjera sin el título de estancia en curso de validez (VISA). Todavía, los ciudadanos de algunos países han sido exentos de estas obligaciones (“Estados exentes desde la VISA”) a condición de que tengan un pasaporte que puede ser leído automáticamente.
Si bien el pasaporte electrónico es la respuesta a una solicitud puramente americana, también los ataques de Madrid en marzo 2005 y los ataques de Londres en julio 2006 han sido una prioridad. La introducción del nuevo sistema ha sido acelerada y su obligatoriedad no es más limitada a los viajeros dirigidos en los Estados Unidos, sino también a todos los que piden o renueven el pasaporte.
De acuerdo con las recomendaciones de ICAO (International Civil Aviation Organization), el pasaporte electrónico incluyeron los datos biométricos, es decir la foto digital y en un futuro próximo, la huella digital. Dado que estos datos son únicos para cada persona física y que no están, generalmente, sujetos a cambios o alteraciones en el tiempo, estas características tendrían que hacer fiable la relación entre el documento y su titular y por esto reducir el riesgo de uso fraudulento (robo de identidad).
Legislación y proceduras prescritas.
Los estados miembros de la Unión Europea aplican un enfoque armonizado a la implementación y al tratamiento de manera que todos los pasaportes del mundo tendrán que incluir los mismos datos y los mismos estándares de seguridad. Esta armonización está escrita en el Reglamento Europeo (CE) 2252/2004 del 13 de diciembre 2004 (los link a los varios textos legislativos y reglamentarios están bajo de la página).
Según la recomendacion ICAO, entre los datos que tienen que ser salvados en el chip a radiofrecuencia están el nombre, la nacionalidad, la data de nacimiento, sexo y elementos biometricos (reconocimiento facial). Es prevista también una sucesiva inclusión de la huella digital (si bien es indicada desde el ICAO como “facultativa”).
En Luxemburgo, las proceduras para la implementación de los pasaportes electrónicos están disciplinadas desde el Reglamento Gran Ducal del 31 julio 2006 sobre los reglamentos de actuación de la ley del 14 abril 1934, en materia de pasaportes biométricos, documentos de viaje para los extranjeros, apátridas y refugiados y la institución de un derecho de canceleria para la legalización de los actos.
Cómo funciona el pasaporte electrónico.
Los datos son codificados y gestionados desde la administración nacional expedidora de pasaportes (efectuada en el Gran Ducato en la Oficina de los Pasaportes del Ministerio de los Affaires Esteros). Si bien la producción de los pasaportes luxemburgues ha sido confiada a una sociedad pública Alemana (Bundersdruckerei), los datos personales son inseridos solo en Luxemburgo. Los datos pueden ser leído mediante un lector óptico; porque el pasaporte electrónico está dotado de un chip de radiofrecuencia, puede ser leído sin el contacto físico con el lector.
A fin de impedir a personas no autorizadas de acceder a datos – o también copiarlos o modificarlos – han sido implementadas diferentes medidas de seguridad:
Los datos son ofrecidos con una “firma electrónica”. Este método permite al destinatario verificar si ha sido proporcionado un cambio de los datos.
El acceso a los datos es limitado a determinados límites de lectura. Esta mensuración es tanto más importante porque el chip a radiofrecuencia no pide el contacto físico directo para visualizar los datos. A fin de evitar que una persona, provista de receptor, pueda posicionarse en proximidad de un punto de control para buscar de interceptar datos incluidos en el pasaporte, es efectuado un “control de acceso de base” utilizando un número casual, basado sobre el número del pasaporte, la data de nacimiento y la data de expiración del mismo. El terminal leerá estos datos, deducirá el número apropiado y lo enviará al chip a radiofrecuencia.
Considerando el número posible de combinaciones entre estos tres elementos, el nivel de seguridad de datos es de 56 Bit (conexión internet mediante línea segura “HTTPS 128 Bit”).
La efectiva comunicación de datos al lector es criptografada desde un sistema similar a lo de la firma electrónica: antes los datos son criptografados desde una palabra clave, el terminal de lectura tiene que ser dotado de una segunda clave correspondiente para poder tener el acceso a los datos.
Teniendo las facultades de las personas a las cuales es dejado un pasaporte biométrico de verificar los datos personales inseridos en este pasaporte, la Oficina de Pasaportes instalará en este sus locales dos lectores permitiendo a los ciudadanos de verificar los datos en cuestión inseridos en el chip electrónico.
Riesgos y soluciones para las violaciones de seguridad.
Como cada aplicación de la tecnología reciente, el pasaporte técnico implica mayores riesgos de violacion de privacy, no obstante las medidas de seguridad. La Comisión Nacional de Protección de Datos, que ha acompanado los preparativos para el proyecto del pasaporte electrónico en colaboración con los funcionarios del Ministerio de los Affaires Esteros, el Ministerio de la Justicia y del Centro Informatico de Estado para tomar las precauciones necesarias para la protección de los datos personales, incentrado principalmente sobre los siguentes aspectos:
En el Gran Ducado, el período de validez del pasaporte electrónico es de 5 años, mientras que, por ejemplo, se establece en 10 años en Alemania. Un período de validez limitado es aún más importante a medida que la creciente evolución de las tecnologías de la información y la tecnología aumenta el riesgo de descifrar los datos registrados en el pasaporte por personas no autorizadas.
Aunque el «Control de acceso básico» tiene un grado de seguridad de 56 bits (2 56 combinaciones posibles), en realidad es más que reducido algunos datos que se pueden derivar o calcular simplemente.
Por lo tanto, si los números de pasaporte se asignan de forma continua y una persona conoce el número aproximado de pasaportes expedidos por mes, esa persona podría reducir significativamente el número de combinaciones posibles. Las pruebas realizadas en los Países Bajos han demostrado que el grado de seguridad podría reducirse a 35 bits. Hoy en día, un ordenador normal podría calcular este número de combinaciones en unas pocas horas.
Para descartar este riesgo con respecto a los pasaportes electrónicos de Luxemburgo, la Comisión Nacional de Protección de Datos se puso en contacto con las autoridades pertinentes y sugirió que los números de pasaporte se asignaran aleatoriamente. Esta solución fue adoptada entonces por las autoridades luxemburguesas y se aplicará.
Los datos biométricos almacenados (o planeados para almacenar) en el chip de radiofrecuencia del pasaporte todavía corren el riesgo de un posible uso indebido, ya que también pueden contener información adicional que puede ser «sensible» (por ejemplo, información sobre el estado de salud u origen racial de la persona en cuestión). La Comisión Nacional, oída sobre este punto, se ha asegurado de que los datos biométricos serán eliminados de los archivos de la oficina de pasaportes un mes después de que el pasaporte sea entregado a su titular.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEL LUSSEMBURGO