Introducción
Hoy en día, cada vez estamos todos más y más concienciados con dos temas: el cuidado de nuestras mascotas y la protección de nuestros datos personales. Pero, ¿podría ser que la mejora del primer aspecto afectase negativamente al segundo?
Qué duda cabe de que la llegada de los chips identificativos supuso un antes y un después para los animales domésticos. Permite localizarnos, como dueños suyos, en caso de pérdida. Asimismo, constituye un sistema “móvil” de almacenamiento de datos que acompaña siempre al animal, vaya donde vaya, llevando con él información relativa tanto a sus dueños como a su propia salud.
Aparentemente, se trata todo de puntos positivos. No obstante, como avanzábamos anteriormente, este almacenamiento de datos puede comprometer nuestra seguridad personal, como trataremos de demostrar a continuación.
Primeros pasos
La idea de analizar la seguridad del chip de las mascotas surgió del hallazgo de un gato callejero. Con la intención de comprobar si tenía dueño, adquirimos un lector FDX-B por Amazon. (https://www.amazon.es/dp/B07K4DLVMY/ref=cm_sw_em_r_mt_dp_U_2m.pEbH226WJ4).
Finalmente, no conseguimos nuestro objetivo con el gato extraviado. Sin embargo, ya que contábamos con el dispositivo, decidimos probarlo con nuestro propio gato, Bobi.
La lectura del chip fue correcta y nos devolvió un número identificativo de 16 cifras. Este número servía como identificador único para usarlo en el buscador de la página oficial de REIAC (https://www.reiac.es/).
Esta página, relativamente sencilla, ofrece un registro, a nivel nacional, de todas nuestras mascotas, del tipo que sean (desde gatos y perros, hasta iguanas, ratas, hurones, etc.) Recordemos, llegados a este punto, la existencia de una ley (Ley 8/2003, de 24 de abril, de sanidad animal, https://www.boe.es/buscar/act.php?id=BOE-A-2003-8510) que obliga a los propietarios de todos los animales domésticos a registrar a cada uno de sus animales con un identificador único.
Al realizar la búsqueda de dicho número, aparecieron en la web todos los datos almacenados bajo el ID encontrado en el chip de Bobi.
Análisis profundo
Observando la secuencia numérica del ID de Bobi, llegamos a la hipótesis de que, muy probablemente, no se trataría de números aleatorios, sino de una numeración correlativa.
Probamos a introducir el número anterior y posterior y, en efecto, obtuvimos información de otras dos mascotas (y sus respectivos dueños, claro).
Como se puede ver, algunos de los datos que devuelven son de bastante sensibles.
Lo que en sí mismo ya constituía un fallo de seguridad se agravó al comprobar que el reCAPTCHA de Google que dispone la web no se encuentra implementado correctamente y la carencia de un un token CSRF, pues fue posible, realizar consultas por “fuerza bruta” y obtener un listado con la información de 100 usuarios más.
Conclusión
Como hemos podido demostrar, el sistema de almacenaje de información de mascotas a través de sus chips es altamente vulnerable, por diversos motivos:
- Permite la lectura de cualquier chip mediante un dispositivo de muy fácil adquisición y utilización.
- La lectura del chip devuelve un ID mediante el cual pueden consultarse en la web oficial de REIAC todos los datos almacenados para él, sin exigir ningún otro tipo de verificación.
- Los ID de los chips siguen para su formación un sistema de números correlativos, de tal manera que, obteniendo uno, es sencillo adivinar otros anteriores o posteriores.
- El sistema reCAPTCHA de Google que hay en la web no funciona correctamente y la carencia de un token CSRF permite la obtención masiva de datos de usuarios.
Visto lo visto, parece que vamos a tener que decidir: ¿la seguridad de nuestra mascota… o la nuestra propia?
