Tarjetas RFID, Mifare y NFC: parque, codificación, gestión
Tres familias de tarjetas coexisten, solo Mifare DESFire EV2 resiste desde 2008
Implantar Mifare Classic en un parque nuevo en 2025 supone un incumplimiento caracterizado del artículo 32 del RGPD: la cripto1 está rota públicamente desde 2008 (Garcia et al., Radboud University, ESORICS 2008) y es duplicable con un smartphone en 30 segundos, lo que descalifica esta tecnología como medida técnica de seguridad en el sentido del reglamento. La elección de una tecnología de tarjeta compromete a la DSI durante 8 a 12 años, la vida útil media constatada de un parque terciario. En Francia todavía coexisten tres familias, pero solo una resiste a los ataques publicados: Mifare DESFire EV2/EV3 con AES de 128 bits y 28 sectores multiaplicación (especificación NXP DESFire EV2). Cuente con 4 a 8 EUR por tarjeta, 350 a 900 EUR por lector instalado y un 5% de stock de reserva.
El mercado terciario francés utiliza tres tecnologías cuyos niveles de seguridad varían desde cero cifrado hasta AES de 128 bits. La selección condiciona la conformidad con el artículo 32 del RGPD (medidas técnicas de seguridad) y la resistencia a los ataques de duplicación.
| Tecnología | Frecuencia | Cifrado | Vulnerabilidad | Precio unitario |
|---|---|---|---|---|
| EM4100 / HID Prox | 125 kHz | Ninguno | Clonación 5 seg | 1,50 a 3 EUR |
| Mifare Classic | 13,56 MHz | Crypto1 (rota 2008) | Duplicación smartphone 30 seg | 2 a 4 EUR |
| Mifare DESFire EV2 | 13,56 MHz | AES 128 bits | Ninguna publicada | 4 a 6 EUR |
| Mifare DESFire EV3 | 13,56 MHz | AES 128 bits + LRP | Ninguna publicada | 5 a 8 EUR |
Horquillas de precios obtenidas en presupuestos de proveedores en 2024. La norma ISO/IEC 14443 regula la comunicación sin contacto entre 0 y 10 cm teóricos; en la práctica, la distancia de lectura efectiva en lectores murales terciarios se sitúa generalmente entre 3 y 5 cm. El NFC (ISO/IEC 18092) retoma la capa física Mifare y autoriza el smartphone como tarjeta virtual.
Nuestra interpretación difiere del discurso dominante de los integradores en un punto concreto: la doxa del sector sigue presentando Mifare Classic como una opción económica aceptable para las zonas no sensibles (aparcamiento, taquillas). En la práctica, en los parques que hemos renovado desde 2006, la mezcla Classic + DESFire en el mismo soporte crea sistemáticamente una brecha, ya que la clave maestra acaba expuesta a través del sector más débil. Todo o nada: un parque nuevo es íntegramente DESFire EV2 como mínimo, o no es conforme con el artículo 32.
Cuándo no se aplica este análisis: en un emplazamiento de menos de 30 empleados con una sola puerta controlada y sin previsión de multiaplicación, el ROI de Mifare DESFire EV2 no se justifica antes de 5 a 6 años frente a una cerradura mecánica de cilindro de alta seguridad o un teclado de código único. La lógica multiaplicación supone como mínimo 50 empleados y 2 servicios de tarjeta diferentes para amortizar la infraestructura de software.
Para la DSI: codificar un parque de 500 tarjetas en 4 etapas a lo largo de 12 semanas, clave maestra del lado del cliente
El proyecto de tarjetas sigue una secuenciación ajustada a la planificación de los acabados, con entrega del parque operativo J-3 antes de la mudanza. Para la DSI, el entregable crítico no es la tarjeta: es la clave maestra AES y su cadena de custodia documentada, pieza central de la auditoría anual de la CNIL y del registro de actividades de tratamiento.
- Auditoría y elección tecnológica (semanas 1 a 3): inventario del parque existente, decisión Mifare DESFire EV2 como mínimo, dimensionamiento de sectores (4 de 16 disponibles: acceso, restauración, impresión, taquillas).
- Precableado (semanas 3 a 6): cables de 8 pares apantallados, alimentaciones de 12V o 24V, canalizaciones VDI en suelo técnico con un 20 a 30% de capacidad reservada para ampliaciones posteriores.
- Codificación AES diversificada (semanas 6 a 10): claves maestras generadas por emplazamiento, nunca compartidas entre edificios, derivadas por diversificación de UID para bloquear la copia.
- Recepción y formación (semanas 10 a 12): pruebas funcionales de los lectores, formación del Office Manager de 2 a 4 horas, entrega de las claves maestras en caja fuerte del cliente.
Para el DPO y la DSI, el reto del RGPD cuantificado: un parque DESFire EV2 con clave maestra del lado del cliente y registros depurados a los 90 días cuesta de 4 a 6 EUR por tarjeta más 350 a 900 EUR por lector, es decir, de 35 000 a 80 000 EUR para un emplazamiento de 500 empleados. Una no conformidad caracterizada con el artículo 32 (Mifare Classic, registros conservados más allá del plazo, clave en manos del integrador) expone a una sanción del 4% de la facturación mundial según el artículo 83 del RGPD: el ROI de la conformidad es mecánicamente positivo desde la primera auditoría.
En proyectos de 120 a 1800 empleados, el plazo medio de codificación y distribución inicial es del orden de una semana, con un stock de reserva previsto desde el día J. Por encima de 2500 empleados en un emplazamiento único, o en caso de migración desde un parque Mifare Classic mantenido en servicio durante la transición, la planificación se extiende a 18 a 24 semanas con una fase de doble codificación transitoria. Por debajo de 80 empleados, el precableado específico no se justifica: se integra en el VDI existente y el proyecto baja a 4 a 6 semanas.
La multiaplicación reduce el número de soportes que se llevan encima y simplifica la administración
La tarjeta Mifare DESFire EV2 acumula hasta 28 aplicaciones por soporte (especificación NXP DESFire EV2 pública). La mutualización de los soportes permite que una sola tarjeta sustituya a varias antiguas (acceso, RIE, copiadora, aparcamiento), reduciendo significativamente el número de soportes que lleva cada empleado.
En una sede parisina de 4200 empleados a la que acompañamos en 2022, la mutualización de acceso + restauración + impresión generó 18 000 EUR de ahorro anual de gestión (pedidos, distribución, servicio posventa) medidos a lo largo de 24 meses tras la entrega. Este resultado es propio de este contexto y no es extrapolable mecánicamente.
La revocación es inmediata, en menos de 30 segundos a través del software central, un punto citado con regularidad por las DSI durante las auditorías anuales de conformidad con el RGPD. La adopción de la tarjeta NFC móvil avanza sensiblemente a lo largo de 24 meses cuando se abre la opción, con una adopción más marcada entre los empleados de menos de 35 años (iOS compatible desde la versión 14 lanzada en 2020, Android nativo desde 2015).
La tasa de pérdida observada en nuestros proyectos se sitúa generalmente entre el 4 y el 7% al año, lo que justifica prever un stock de reserva de al menos el 5%. Por encima del 8%, la auditoría revela sistemáticamente un fallo de comunicación interna o una política de sanción demasiado laxa.
Cuándo no se justifica la multiaplicación: en un emplazamiento sin RIE interno, sin copiadoras con tarjeta y sin aparcamiento gestionado, la mutualización se reduce a una sola aplicación (acceso) y la inversión DESFire EV2 frente a EV1 no genera un retorno medible. El cálculo de ahorro supone como mínimo 3 aplicaciones activas y 1500 empleados: por debajo, el ROI multiaplicación se desplaza más allá de los 4 años.
Tres trampas para la DSI: Mifare Classic nuevo, clave maestra del integrador, registros más allá de 3 meses
En las auditorías de parques realizadas desde 2006, tres defectos se repiten en la mayoría de los expedientes no conformes con el artículo 32 del RGPD.
- Mifare Classic en parque nuevo: cripto1 rota desde 2008, duplicación con smartphone en 30 segundos mediante NFC Tools o MIFARE Classic Tool. La diferencia de coste unitario entre Mifare Classic y DESFire EV2 sigue siendo marginal respecto al presupuesto global de un parque de lectores, y no constituye un argumento económico admisible para mantener una tecnología comprometida.
2.