Etiquetas RFID para proteger las toallas de los hoteles

Me ha parecido curioso este artículo que, el gurú de la seguridad, Bruce Schneier ha publicado hoy en su blog. Más aún cuando el Grupo de Trabajo del Artículo 29 (GT 29) acaba de elaborar el dictamen 9/2011 sobre la Evaluación del Impacto sobre la Protección de Datos y la Intimidad en las Aplicaciones Basadas en RFID. Las toallas nos delatarán.

Esta es una traducción libre. Aquí tenéis el link al original en su blog (http://www.schneier.com/)

Etiquetas RFID para proteger las toallas de los hoteles
(por Bruce Schneier)

El hurto de toallas de hotel no es, ciertamente, un gran problema en el esquema de los problemas mundiales, aunque puede suponer elevados costes para los hoteles.  Si bien la conciencia moral evita que la mayoría de personas se lleven las toallas de un hotel, estos establecimientos suelen incluir su nombre o logo en las toallas, lo que suele funcionar como un sistema de seguridad reputacional: no queremos que nuestros amigos vean toallas robadas en el baño de nuestra casa,  No obstante, a veces se consigue el efecto contrario: gente que se lleva toallas y otros objetos personalizados del hotel a modo de souvenir.

 
Es cierto que va contra la ley apoderarse de las toallas de un hotel, pero salvo en casos de robo a gran escala, la justicia no perseguirá a nadie por ello (aunque esto no es cierto en todos los países, en 2010, una mujer fue condenada a tres meses de prisión por llevarse dos toallas y una plancha de un hotel en Nigeria).  La cuestión es que desaparecen más toallas de las que el hotel desearía y, para hoteles y resorts de gran categoría, estas toallas tienen un coste elevado.

 
Lo único que puede hacer el hotel es implementar sus propias medidas de seguridad.  Un sistema, que cada vez es más habitual, consiste en fijar precios para las toallas y otros complementos (suele ser muy común para los albornoces) y cargar el importe de éstos si, en el momento del checkout cliente, no están en la habitación.  Esto no siempre funciona, porque -por ejemplo- en los hoteles con piscina pueden quedar toallas de la habitación en la piscina y viceversa.

 
Un sistema más reciente, aunque aún no muy extendido, es insertar etiquetas RFID lavables en las toallas para poder realizar su seguimiento.  La única referencia que tenemos al respecto es la de un hotel de Hawai que asegura haber reducido el robo de toallas de 4.000 al mes a 750, lo que supone un ahorro de 16.000 dólares mensuales.

 
Considerando que las etiquetas RFID son relativamente económicas y pueden durar bastante, parecen una medida de seguridad bastante aceptable.

¿Cuándo cambiar la contraseña?

Bruce Schneier iniciaba así un artículo publicado en Dark Reading el 10 de noviembre de 2010:

"¿Cada cuanto tiempo se debe de cambiar la contraseña?  Me han realizado esta pregunta en numerosas ocasiones, generalmente por personas que encuentran incómodidad en las políticas de caducidad de las contraseñas de sus empresas o entidades financieras - gente que, después de haber conseguido memorizar una contraseña, son requeridos para cambiarla por una nueva."

Seguro que a cualquier Administrador de Sistemas o Responsable de Seguridad le han hecho la misma pregunta infinidad de veces.  Y, probablemente, habremos dado la misma respuesta que el experto en seguridad: "The answer depends on what the password is used for." (Bruce Schneier, "When to Change Passwords", 10-11-2010).

En el artículo ya nos avisa que lo peor de ir cambiando las contraseñas es la dificultad de recordarlas.  Si se fuerza a los usuarios a cambiar la contraseña con regularidad, probablemente elegirán contraseñas más fáciles de recordar (¡y de adivinar!) que si tienen una contraseña que puedan utilizar durante varios años.

A priori, parece una buena medida de seguridad implantar un sistema de contraseñas con "fecha de caducidad".  En caso de robo o descubrimiento de la contraseña, su uso (o mal uso) queda limitado al periodo de tiempo hasta la siguiente renovación.  No obstante, en el contexto actual, no parece ser éste un argumento válido.  Un atacante que posea la contraseña de acceso a nuestra cuenta bancaria on-line, puede acceder y transferir nuestro dinero a otras cuentas al instante; de poco sirve, en este caso, que vayamos cambiando la contraseña con cierta frecuencia.  Lo que hay que hacer es cambiarla de inmediato ante la menor sospecha de fraude.

Algo parecido sucede si alguien obtiene las credenciales de acceso a nuestro puesto de trabajo.  Puede acceder de inmediato, instalar algún tipo de malware o incluso crear una cuenta propia para posteriores accesos.

Más que preocuparse por cada cuánto tiempo hay que cambiar las contraseñas, hay que preocuparse de crear buenas contraseñas y tenerlas a buen recaudo.  Eso sí, cambiándolas de inmediato al menor síntoma de que alguien las haya podido obtener.