El marchamo digital: inseguridad y capacidad de vigilancia que se despliega

Entre finales de 2026 e inicios de 2027 el país se moverá del marchamo en papel a un marchamo digital con una tecnología RFID legible a 10 metros con el vehículo detenido y desde pórticos de 6 metros de altura con el vehículo a 120 km/h.

Este artículo no es para argumentar que el Gobierno actual busque o no realizar vigilancia; es para exponer técnica y políticamente los riesgos a los que este proyecto expone a los costarricenses y las correcciones tecnológicas y de gobernanza que requeriría una solución de este tipo.

Se nos presenta como una modernización necesaria para resolver varios problemas que el marchamo en papel tiene hoy en día. Problemas que nos cuestan a todos y que resolverlos bien podría ahorrarnos dinero y de paso mejorar los procesos de fiscalización. En especial, permitiría eventualmente expandir los usos a otros casos con costos relativamente marginales ya que las etiquetas RFID tienden a ser baratas.

Si bien se nos indica que el inicio de este proyecto es para mejorar la fiscalización del marchamo, también se plantea que en el futuro podría utilizarse para otros fines, como parqueos inteligentes, peajes, cobro por ingresar a San José, ciudades inteligentes, control de tránsito y multas impersonales, entre otros. Por eso, una simple app con un buscador por placa para oficiales de tránsito sólo resolvería el problema inicial de mejorar la fiscalización del marchamo, pero no permitiría desarrollar los demás usos que se contemplan a futuro.

Lo que se está llevando adelante no es solamente el despliegue de tags de RFID en todos los vehículos y motos. Es una capacidad de lectura distribuida y una base de datos centralizada a la que varios entes públicos podrían conectarse. En palabras del MICITT: “… remitirá la información hacia un sistema informático centralizado”.

De manera masiva, estos lectores se pueden desplegar en diversos puntos del país y automáticamente registrar la ubicación de cada vehículo para así localizar a cada persona en tiempo real, e inclusive reconstruir sus movimientos de manera extremadamente precisa. Dónde duerme, dónde trabaja, a quién visita, cuándo lo visita, con qué frecuencia, por cuánto tiempo. Todo esto se logra gracias al diseño de la tecnología, no depende de querer o no hacerlo.

El primer problema que tiene es la forma en la cual se está poniendo en marcha. El proyecto no ha pasado por la Asamblea Legislativa, no se sustenta en una ley específica y prácticamente no ha existido discusión pública al respecto. Un proyecto de este calibre, con capacidad de identificación masiva, debería requerir reserva de ley, así como también cualquier ampliación futura de sus usos o alcances.

Lo segundo es que cualquier proyecto de este tipo debe tener una serie de principios rectores básicos para la protección de datos y la privacidad como los siguientes:

• Minimización de datos y separación de funcionalidades. Un sistema de este tipo debe recolectar lo mínimo necesario para cumplir su función definida. Si el fin es verificar el pago del marchamo, no necesita saber dónde está el vehículo en cada momento. Asimismo, debe existir una separación criptográfica entre la identificación y la verificación. Por ejemplo, una verificación binaria (pagó / no pagó el marchamo o revisión técnica vehicular) es suficiente sin necesidad de registrar la ubicación del vehículo o inclusive identificar al usuario si se reporta como “sí pagó”.
• Limitación de propósito. Los datos recolectados para un propósito no pueden reutilizarse para otro sin nueva base legal. La policía de tránsito verificando un pago no puede compartir esos registros con migración, Hacienda, o un fiscal en una investigación no relacionada. Un diseño federado en este caso es fundamental (como lo hace Estonia con e-government).
• Privacidad por defecto. El estado más restrictivo debe ser el predeterminado. Es decir, el usuario tiene que optar por compartir más, no optar por no compartir. No se puede forzar a las personas a usar funcionalidades que no desean adquirir, por ejemplo, “ciudades inteligentes” a la fuerza.
• Trazabilidad y rendición de cuentas. Todo acceso al sistema debe quedar registrado y existir una autoridad independiente que audite esos registros. Los ciudadanos pueden saber cuándo, quién y por qué accedió a sus datos. En este caso, lo ideal es que a la PRODHAB se le asignen fondos correspondientes para cumplir con esta función auditora.

¿Las placas actuales no permiten hacer esto mismo pero con cámaras?

Este argumento tiene dos problemas que se refuerzan mutuamente. 

Primero, si fuera cierto que las placas y cámaras hacen lo mismo, no se entendería por qué el Estado está invirtiendo millones en RFID para los usos anteriormente mencionados. La decisión misma de adquirir esta tecnología revela que no son equivalentes. 

La literatura técnica documenta las ventajas prácticas que tienen estos sistemas de RFID sobre los sistemas de ANPR (cámaras + reconocimiento óptico de placas): lectura sin línea de vista, sin error de OCR, en cualquier condición ambiental, con hardware barato e indetectable, a velocidades altas y sin intervención humana. Esas son precisamente las capacidades que más preocupan desde la perspectiva de privacidad.

Segundo, aunque fueran funcionalmente equivalentes a nivel de identificador, el problema nunca fue el identificador en abstracto sino el sistema que se despliega alrededor: la red de lectores y la base de datos central. Esa infraestructura no existe hoy en Costa Rica como red nacional, y el marchamo digital la está creando.

Por ende, si mañana el Gobierno propusiera desplegar diez mil cámaras ANPR con base de datos centralizada, la preocupación sería idéntica y nadie diría “pero las placas ya existen, ¿qué cambia?”.

La Sala IV ya falló “a favor” del marchamo digital

En 2023 se ingresó un recurso de amparo (23-015121-0007-CO), el cual la Sala IV rechazó bajo el argumento de que se basa en escenarios hipotéticos. Pero los casos de expansión de uso de esta tecnología no son hipotéticos, han sido expresados explícitamente por diversos voceros del proyecto. Asimismo, la especificación no es hipotética, habilita esas funcionalidades, se usen o no, inclusive podemos reconocer muchas de las vulnerabilidades sin tener toda especificación completa.

Ese fallo también ignora que el control constitucional contra la expansión de vigilancia debe ser ex ante. De otra forma, es el equivalente a decir que no se puede exigir que un edificio tenga salidas de emergencia hasta que ocurra un incendio.

Esta red de identificación masiva en tiempo real, habilitada por la obligatoriedad de contar con un hardware de telemetría, nos expone a una serie importante de nuevos riesgos cibernéticos. Muchos de ellos no parecen estar mitigados de forma explícita ni en la especificación técnica pública del proyecto ni a la luz del historial reciente del Estado en esta materia.

La primera bandera roja que levanta este proyecto, según el historial de modificaciones del cartel, es la eliminación de requisitos mínimos de seguridad. Por ejemplo, se eliminó la exigencia de que el tag contara con protecciones básicas anti clonación o derivación mediante la emisión de un número “aleatorio, único e irrepetible”. En su lugar, se aceptó un código estático por vehículo, sin requisitos de aleatoriedad criptográfica y potencialmente secuencial o predecible a partir del folio impreso, algo que la literatura especializada identifica como fácilmente clonable. Además, se eliminó el requisito de “protección contra químicos adulteradores”. Todo esto puede verificarse en el expediente de SICOP 2024LY-000043-0001000001.

La especificación solicitada sin autenticación de lectores y sin pseudónimos rotativos (que cambian cada vez que se lee o cada cierto tiempo, disponibles en la versión más moderna EPC Gen2 V2) permite que la delincuencia organizada cree una red de seguimiento de vehículos sin mucha inversión.

El argumento de la Sala IV sobre que el “acceso requiere lector homologado por SUTEL” no protege contra lecturas no autorizadas. Quizás confundieron homologación con que de alguna forma sólo los dispositivos homologados podrían leer los tags. El protocolo Gen2 que se adquirió comparte la información del EPC en plano, sin encriptación. Inclusive, se exige un código QR impreso que exponga de manera legible el número de folio en el parabrisas.

Que el código sea fácilmente legible implica también que con adquirir unos tags en Alibaba o Amazon, un atacante podría clonar el valor EPC de un tag de otra persona y andarlo por la calle. La Sala IV falló al presumir que el sistema tenía resguardos técnicos.

Pero inclusive, por cómo funciona esta tecnología, el método con el que se transmite la contraseña de acceso del EPC Gen2 permite que un atacante la obtenga con una sola escucha de una operación legítima de aprovisionamiento, y con ella sobrescriba un tag oficial. La ‘seguridad’ que el protocolo implementa sobre esa contraseña es ofuscación, no encriptación: acceder al valor es trivial (RFID security and privacy: A research survey. Juels, 2006) y por ende, si se comparte una sola contraseña para todos los tags (como es común en este tipo de sistemas) se puede exponer toda la flota con una sola vulneración.

En el caso de que esta tecnología se utilice para fines policiales, los criminales podrían clonar los tags de personas inocentes (placa, VIN y demás datos) y colocarlos en sus vehículos mientras clones de los tags de sus vehículos andan por otras partes “despistando” a las autoridades. Bajar el grado de seguridad como se hizo en el cartel tiene implicaciones no triviales.

Sumado a estos riesgos con el tag, desde el lado del sistema central, el riesgo más grande y obvio al que nos exponemos y que debemos reconocer y discutir es la enorme base de datos de ubicaciones en tiempo real que potencialmente se creará. No sabemos prácticamente nada de las especificaciones de esta parte. Esa falta de transparencia es altamente preocupante.

Una base de datos de este tipo sería un enorme atractivo para ciberataques. Recordemos que recientemente Costa Rica ha sido objeto de múltiples ataques, desde bancos públicos, hasta el mismo Ministerio de Hacienda y la Caja Costarricense del Seguro Social. Sistemas de este tipo deben seguir las buenas prácticas internacionales como las que se han presentado en Alemania (Toll Collect) y en Suiza (HVF); asimismo con los principios generales de gobierno digital de Estonia (e-government).

El cartel ya adjudicado de tags con especificaciones de emisión estática y poco segura, restringe la posibilidad de crear una infraestructura que preserve la privacidad y proteja al ciudadano de una trazabilidad masiva de parte del Estado o de actores “malos”. Aunque no tengamos la especificación o cartel de este sistema, podemos conocer las limitaciones derivadas de las especificaciones de los tags.

Un fin legítimo y loable no es un seguro de protección, se deben realizar acciones positivas al respecto y seguir las mejores prácticas de diseño de sistemas de esta índole. Y reconociendo la historia reciente de débil capacidad estatal frente a ciberataques, expandir activos de esta naturaleza sin antes resolver esos problemas estructurales nos expone a riesgos desproporcionados.

Un sistema de este tipo, si se debatiera de manera abierta y en los foros correspondientes (por ejemplo a nivel de Asamblea Legislativa) debería contar con salvaguardas legales y tecnológicas que prioricen la protección ciudadana. Por ejemplo, prohibir que se expandan los usos del sistema más allá del inicial (peajes, parqueos, gestión de tráfico, restringir acceso a zonas del país) sin una legislación fresca correspondiente en lugar de solamente una decisión administrativa. 

Exponer esto no es una queja contra la modernización. Pero sí es una alerta sobre un diseño que no logra garantizar adecuadamente la seguridad y la privacidad de los ciudadanos. Muchos estamos a favor de que haya más tecnología para hacer al Estado más eficiente. Sin embargo, los principios de proporcionalidad, protección del ciudadano y controles fuertes contra abusos o invasiones a la privacidad deben estar incorporados desde el origen en cualquier iniciativa de esta índole.

Debemos comprender que un sistema de este tipo está definido por sus capacidades, no únicamente por sus usos actuales o las intenciones expresas de los gobernantes de turno. Vale la pena recordar que actualmente los costarricenses estamos sumamente desprotegidos frente al uso indebido de nuestros datos, incluso por parte del propio Estado, y que anteriormente se ha planteado la necesidad de modernizar el marco regulatorio mediate el Expediente 23.097 que acumula tres años de trámite legislativo sin aprobación final.

Las opiniones expresadas en este artículo son responsabilidad del autor y no representan necesariamente la postura oficial de Primera Línea. Nuestro medio se caracteriza por ser independiente y valorar las diversas perspectivas, fomentando la pluralidad de ideas entre nuestros lectores.