Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 14 de marzo de 2026

Desbloqueando la Seguridad NFC eID: Entendiendo la Derivación de Claves BAC (ES)

Profundice en la derivación de claves BAC, el proceso criptográfico que asegura las eID NFC. Aprenda cómo los estándares ICAO 9303 utilizan datos MRZ para generar claves de sesión, protegiendo información de identidad.

Por DiditActualizado el
bac-key-derivation-nfc-eids-security.png

Seguridad FundamentalLa derivación de claves BAC (Basic Access Control) es la piedra angular del acceso seguro a datos para las eID NFC, evitando la lectura no autorizada de datos sensibles del chip.

MRZ como Raíz de ConfianzaLa Zona de Lectura Mecánica (MRZ) en un pasaporte o tarjeta de identificación es esencial; sus datos (número de documento, fecha de nacimiento, fecha de vencimiento) se utilizan para generar las claves criptográficas.

Proceso CriptográficoLa derivación de claves implica algoritmos de hash seguros específicos (como SHA-1) y funciones de derivación de claves para transformar los datos MRZ en claves de sesión para comunicación cifrada.

Estándar ICAO 9303BAC es obligatorio según ICAO 9303, asegurando la interoperabilidad global y un mecanismo de seguridad estandarizado para los Documentos Electrónicos de Viaje de Lectura Mecánica (eMRTDs).

En el mundo de la identidad digital, la seguridad de los documentos de identidad electrónicos (eIDs) habilitados para NFC, como los pasaportes electrónicos y las tarjetas de identificación nacionales, es primordial. Estos documentos contienen datos personales sensibles almacenados en un microchip, y proteger esta información del acceso no autorizado es un desafío crítico. Aquí es donde entra en juego el Control de Acceso Básico (BAC), específicamente su proceso fundamental: la derivación de claves BAC.

BAC es la primera línea de defensa para las eIDs, un mecanismo de seguridad exigido por la Organización de Aviación Civil Internacional (ICAO) en su estándar Doc 9303. Establece un canal de comunicación seguro entre el chip de la eID y un dispositivo de lectura, asegurando que solo los lectores autorizados puedan acceder al contenido del chip. En el corazón de la efectividad de BAC se encuentra el meticuloso proceso de derivación de claves criptográficas, que exploraremos en detalle.

El Papel de la Zona de Lectura Mecánica (MRZ) en la Derivación de Claves BAC

El viaje de la derivación de claves BAC comienza con un componente aparentemente simple de cada eID: la Zona de Lectura Mecánica (MRZ). Este es el código alfanumérico de dos o tres líneas impreso en la parte inferior de la página de datos biográficos del documento de identidad. Aunque aparece como texto sin formato, la MRZ contiene la información pública crucial necesaria para iniciar el protocolo de comunicación segura.

Específicamente, se utilizan tres datos de la MRZ:

  1. Número de Documento: El identificador único del documento de viaje.
  2. Fecha de Nacimiento (DOB): La fecha de nacimiento del titular en formato AAMMDD.
  3. Fecha de Vencimiento (DOE): La fecha de vencimiento del documento en formato AAMMDD.

Estos tres elementos de datos se eligen porque están disponibles públicamente en el propio documento, lo que permite que un lector legítimo los obtenga, pero son lo suficientemente específicos como para generar un conjunto único de claves para cada documento individual. Cualquier discrepancia en estas entradas resultará en un fallo al establecer el canal seguro, protegiendo así los datos del chip.

El Proceso Criptográfico: Cómo se Derivan las Claves BAC

El proceso criptográfico para la derivación de claves BAC es un procedimiento estandarizado diseñado para generar dos claves esenciales: la Clave de Cifrado Simétrico (K_ENC) y la Clave de Código de Autenticación de Mensajes (K_MAC). Estas claves se utilizan luego para cifrar y autenticar toda la comunicación posterior entre el lector y el chip de la eID.

La derivación implica varios pasos, según lo definido por ICAO 9303 Parte 11 y los estándares criptográficos relevantes:

  1. Concatenación de Datos MRZ: Los tres elementos de datos MRZ (Número de Documento, DOB, DOE) se procesan primero. Cualquier dígito de control asociado con estos campos se incluye, y se puede aplicar relleno si es necesario para alcanzar una longitud específica (por ejemplo, el número de documento se rellena con caracteres '<' si es más corto de 9 dígitos).

  2. Hashing con SHA-1: Los datos MRZ concatenados y rellenados se introducen luego en un algoritmo de hash seguro, típicamente SHA-1 (Secure Hash Algorithm 1). Esto produce un valor hash de 160 bits (20 bytes), a menudo denominado K_seed.

    Ejemplo: K_seed = SHA-1(DocumentNumber && DocumentNumberCheckDigit && DateOfBirth && DateOfBirthCheckDigit && DateOfExpiry && DateOfExpiryCheckDigit)

  3. Función de Derivación de Claves (KDF): K_seed se procesa aún más utilizando una función de derivación de claves para generar K_ENC y K_MAC. Esto generalmente implica usar K_seed como entrada para una función criptográfica (como Triple DES en modo CBC) con constantes específicas (por ejemplo, '00000001' y '00000002') para producir las claves de 128 bits (16 bytes).

    Ejemplo (simplificado): K_ENC = derive_key(K_seed, constant_1) K_MAC = derive_key(K_seed, constant_2)

Estas claves derivadas son efímeras, lo que significa que se generan para cada sesión y nunca se almacenan en el lector o el chip. Esto garantiza la seguridad hacia adelante: incluso si una clave de sesión se ve comprometida, no se puede utilizar para descifrar sesiones pasadas o futuras.

Control de Acceso Básico: Asegurando el Canal de Comunicación

Una vez que K_ENC y K_MAC son derivados con éxito tanto por el lector como por el chip de la eID (después de que el lector presenta sus claves derivadas al chip para su verificación), se establece un canal de mensajería seguro. Este canal proporciona dos servicios de seguridad críticos:

  1. Confidencialidad (Cifrado): Todos los datos intercambiados entre el lector y el chip se cifran utilizando K_ENC. Esto evita la interceptación y asegura que la información sensible, como datos biométricos (imagen facial, huellas dactilares), no pueda ser interceptada por partes no autorizadas. Esto es crucial para proteger la privacidad del individuo.

  2. Integridad y Autenticidad (MAC): Los mensajes se autentican utilizando K_MAC. Se calcula un Código de Autenticación de Mensajes (MAC) para cada mensaje, asegurando que los datos no hayan sido alterados durante la transmisión y que provengan de una fuente legítima (ya sea el chip o el lector autorizado). Esto evita la manipulación de datos y los ataques de suplantación de identidad.

El establecimiento de este canal seguro es un requisito previo para acceder a cualquier elemento de datos sensible en el chip. Sin completar con éxito el protocolo de control de acceso básico, el chip se negará a transmitir información protegida. Este mecanismo robusto es la razón por la que simplemente tocar una eID con un teléfono habilitado para NFC sin conocer los datos MRZ no producirá ninguna información personal sensible.

Cómo Didit Ayuda con la Seguridad de las eID NFC

Didit comprende las complejidades de la verificación de identidad segura, especialmente cuando se trata de tecnologías avanzadas como las eID NFC. Nuestra plataforma admite la lectura de documentos NFC, que aprovecha el proceso estandarizado de derivación de claves BAC para garantizar el más alto nivel de seguridad y autenticidad de los datos. Al integrar capacidades NFC, Didit proporciona:

  • Garantía de Nivel Gubernamental: Leemos los datos del chip criptográfico, lo que proporciona un mayor nivel de garantía que la inspección visual por sí sola, ya que valida la firma digital del chip de acuerdo con los estándares de la OACI.
  • Detección de Fraude Mejorada: El canal seguro establecido por BAC ayuda a detectar intentos de fraude sofisticados, ya que se evita cualquier manipulación de los datos del chip o acceso no autorizado.
  • Cumplimiento Optimizado: Nuestra solución se adhiere a estándares internacionales como ICAO 9303, ayudando a las empresas a cumplir con los estrictos requisitos regulatorios para la verificación de identidad y la lucha contra el lavado de dinero (AML).
  • Experiencia de Usuario Perfecta: Si bien la seguridad subyacente es compleja, la plataforma de Didit abstrae esta complejidad, ofreciendo un flujo de verificación fluido e intuitivo para los usuarios finales, capturando y validando rápidamente los datos necesarios.

Al ofrecer la lectura de documentos NFC como parte de nuestro paquete integral de verificación de identidad, Didit permite a las empresas verificar identidades con una seguridad y fiabilidad inigualables, generando confianza en un mundo cada vez más digital.

¿Listo para Empezar?

Explore cómo las soluciones avanzadas de verificación de identidad de Didit, incluida la lectura de eID NFC, pueden mejorar su postura de seguridad y cumplimiento. Visite nuestra página de productos para obtener más detalles o contáctenos para una demostración personalizada. También puede probar nuestro centro de demostraciones para experimentar nuestra tecnología de primera mano.

Preguntas Frecuentes

¿Qué es la derivación de claves BAC en las eID NFC?

La derivación de claves BAC es el proceso criptográfico utilizado en las eID NFC (como los pasaportes electrónicos) para generar claves de cifrado y autenticación simétricas. Estas claves se derivan de datos específicos que se encuentran en la Zona de Lectura Mecánica (MRZ) del documento y se utilizan para establecer un canal de comunicación seguro y cifrado entre el chip de la eID y un lector, asegurando el control de acceso básico y protegiendo los datos sensibles.

¿Por qué es importante la MRZ para la derivación de claves BAC?

La MRZ (Zona de Lectura Mecánica) es crucial para la derivación de claves BAC porque contiene los datos públicos, pero únicos (número de documento, fecha de nacimiento y fecha de vencimiento) que sirven como entrada para el proceso de generación de claves. Esto asegura que solo un lector con acceso al documento físico y su MRZ pueda derivar las claves correctas para desbloquear el contenido protegido del chip.

¿Qué beneficios de seguridad proporciona el Control de Acceso Básico (BAC)?

El Control de Acceso Básico (BAC) proporciona dos beneficios de seguridad principales: confidencialidad e integridad. La confidencialidad se logra mediante el cifrado del canal de comunicación utilizando claves derivadas, evitando la interceptación. La integridad se garantiza autenticando los mensajes con un Código de Autenticación de Mensajes (MAC), lo que evita la manipulación de datos y verifica el origen de los mensajes. Esto protege los datos sensibles en el chip de la eID del acceso no autorizado.

¿La derivación de claves BAC sigue siendo segura contra ataques modernos?

Si bien BAC proporciona una capa fundamental de seguridad, su dependencia de SHA-1 y Triple DES para la derivación y el cifrado de claves significa que se considera menos robusto contra ataques criptográficos modernos en comparación con protocolos más nuevos como PACE (Password Authenticated Connection Establishment). ICAO 9303 recomienda implementar PACE para una seguridad mejorada, aunque BAC sigue siendo ampliamente utilizado y legalmente compatible para la seguridad de las eID NFC.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Derivación de Claves BAC para eID NFC: Identidad Segura.