En los sistemas RFID, el Identificador Único (UID) suele malinterpretarse. Con frecuencia se trata como una credencial de seguridad, cuando en realidad nunca se diseñó con ese fin. Para diseñar, evaluar o auditar correctamente un sistema RFID, es esencial comprender lo siguiente qué es un UID, qué no es y cómo debe utilizarse.
Significado técnico de un UID
Un UID es un identificador no volátil almacenado permanentemente en el interior de un circuito integrado RFID. Lo asigna el fabricante del chip durante la producción y su finalidad es distinguir de forma exclusiva una etiqueta de otra a nivel de protocolo.
Desde el punto de vista de las normas, el UID existe para garantizar:
- Selección fiable de etiquetas
- Resolución de colisiones
- Comunicación determinista entre el lector y la etiqueta
Así es no proporcionar autenticación, cifrado o prueba de legitimidad.
Cómo se utiliza una UID durante la comunicación RFID
Cuando un lector RFID energiza el campo RF, varias etiquetas pueden responder simultáneamente. La UID desempeña un papel fundamental en esta fase.
La secuencia típica es:
- Las etiquetas responden con sus identificadores
- El lector realiza la anticolisión
- Se selecciona una etiqueta utilizando su UID
- Comienzan las operaciones de nivel superior (si son compatibles)
En ningún momento el UID valida si la etiqueta es auténtica, autorizada o de confianza.
Almacenamiento e inmutabilidad de UID
En los chips RFID auténticos, el UID se almacena en memoria de sólo lectura programada de fábrica. No puede modificarse ni reescribirse en condiciones normales de funcionamiento.
Las etiquetas que permiten modificar el UID son:
- Fichas clónicas
- Emuladores
- Dispositivos de desarrollo
No son representativas de las credenciales de producción conformes a las normas.
Longitud y estructura del UID
La longitud del UID depende del estándar RFID y de la familia de chips. Algunos ejemplos comunes son:
- UID de 32 y 40 bits en sistemas LF heredados
- UID de 7 o 10 bytes en sistemas ISO/IEC 14443 HF
- Identificadores de 96 bits asociados a los marcos EPC UHF
La estructura del UID puede incluir:
- Identificación del fabricante
- Información sobre la familia de chips
- Numeración de serie
Esta estructura favorece la interoperabilidad, no el secretismo.
Comportamiento de los UID en las bandas de frecuencia RFID
Baja frecuencia (125 kHz)
Los sistemas RFID de LF se basan casi universalmente en el funcionamiento sólo con UID. Estos sistemas proporcionan:
- Identificadores fijos
- Sin autenticación
- Sin encriptación
- Comunicación unidireccional
En estos sistemas, la posesión de un UID es suficiente para suplantar una etiqueta.
Alta frecuencia (13,56 MHz)
La RFID de alta frecuencia introduce capas de seguridad opcionales. El papel de la UID cambia en función del tipo de chip.
En los sistemas HF seguros, el UID sólo se utiliza para:
- Anticolisión
- Selección de etiquetas
Las decisiones de control de acceso se toman tras la autenticación criptográfica, y no comparando UIDs.
Frecuencia ultraalta (UHF)
En la RFID UHF, el concepto de una única UID se sustituye por múltiples identificadores:
- TID para la autenticidad del chip
- EPC para la identificación a nivel de aplicación
También en este caso, los identificadores apoyan la escala y la logística, no la confianza.
Más información: Explicación de las frecuencias de los chips RFID: LF vs HF vs UHF
El principal error de diseño: Tratar el UID como una credencial
Muchos sistemas de control de acceso siguen basándose en la comparación de UID como mecanismo de autorización. Este enfoque es fundamentalmente erróneo.
La autorización basada en UID falla porque:
- Los UID se transmiten en texto claro
- Cualquier lector compatible puede capturarlos
- Las etiquetas clonadas son indistinguibles de las originales
No se trata de un error de aplicación, sino de una mal uso del concepto UID.
Por qué siguen existiendo los sistemas de identificación única
A pesar de las limitaciones conocidas, los sistemas de identificación única siguen siendo habituales debido a:
- Bajo coste
- Infraestructura heredada
- Mínima complejidad del software
- Compatibilidad con las primeras implantaciones de RFID
Sólo son adecuados cuando los requisitos de seguridad son insignificantes.
Cómo los sistemas RFID seguros utilizan el UID correctamente
En los sistemas RFID seguros modernos:
- El UID nunca se utiliza para las decisiones de acceso
- La autenticación se basa en un sistema criptográfico de desafío-respuesta.
- Las claves secretas permanecen protegidas dentro del chip
- La verificación basada en sesiones evita la repetición y la clonación
En estos sistemas, duplicar un UID no tiene ningún valor práctico.
Perspectiva normativa
Normas RFID como ISO/IEC 14443, ISO/IEC 15693 e ISO/IEC 18000 definen explícitamente el comportamiento del UID. Ninguna de ellas define el UID como mecanismo de seguridad.
La seguridad es intencionadamente estratificada sobre el UID.
Esta distinción es explícita tanto en la documentación de las normas como en los diseños de referencia de los proveedores.
Implicaciones prácticas para los diseñadores de sistemas
Si la seguridad de un sistema depende del secreto del UID, el sistema es inseguro por diseño.
Si un sistema utiliza el UID sólo para la identificación y se basa en la autenticación criptográfica para la autorización, se ajusta a las mejores prácticas modernas de RFID.
El UID es un componente fundamental de la comunicación RFID, pero nunca se concibió como una credencial. Confundir identificación con autenticación ha provocado décadas de fallos de seguridad evitables.
Comprender la función correcta de la UID no es opcional, sino que es un requisito previo para crear sistemas RFID escalables, interoperables y seguros.
