Resumen
El uso de la tecnología de identificación por radiofrecuencia (RFID) ha crecido significativamente en los sistemas de control de acceso y pago. Las tarjetas basadas en el estándar MIFARE Classic son ampliamente adoptadas debido a su bajo costo, pero presentan vulnerabilidades de seguridad conocidas. Este artículo presenta un análisis práctico de estas vulnerabilidades, centrándose en las debilidades estructurales del algoritmo de cifrado propietario CRYPTO-1. La metodología incluyó una revisión bibliográfica y experimentos prácticos utilizando la herramienta de pruebas de penetración Proxmark3 con el firmware Iceman. Se evaluaron tarjetas estándar y tarjetas chinas de seguridad (conocidas como "tarjetas mágicas chinas") mediante ataques anidados, de lado oscuro y de anidamiento extremo. Los resultados demostraron vulnerabilidades sistemáticas en los sectores de la tarjeta. El ataque anidado recuperó claves con políticas predeterminadas en 1 a 3 segundos, mientras que el ataque de anidamiento extremo comprometió claves no predeterminadas en pocos minutos. Tras la extracción de claves, se logró con éxito la lectura completa de la memoria y la clonación completa del dispositivo. Concluimos que el estándar MIFARE Classic sigue siendo altamente vulnerable a ataques estructurales y de clonación. La solución más eficaz consiste en migrar a tecnologías más robustas, como MIFARE Plus o DESFire EV2. Para los sistemas que no se pueden actualizar de inmediato, recomendamos la rotación periódica de claves, la eliminación de las claves predeterminadas y la implementación de mecanismos anti-reproducción en los lectores.

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Derechos de autor 2026 Rafael de Sa Mascarenhas
