Volver a las publicaciones Conocimiento experto

Tarjetas de acceso en las obras: Por qué MIFARE Classic es insegura y cómo funciona un cifrado seguro

Christopher Sura · jueves, 12 de marzo de 2026 · 7min

¿Copiar una tarjeta de acceso? Por qué MIFARE Classic es un riesgo de seguridad en las obras

Las tarjetas de acceso forman parte del día a día en las obras. Sin embargo, muy pocos saben que la mayoría de las tarjetas de acceso pueden copiarse en segundos, con dispositivos que cuestan menos de 50 euros.

Ya sea para el control de acceso digital en torniquetes, puertas o barreras: quien utiliza pases de obra sin prestar atención a la tecnología de cifrado subyacente se arriesga a accesos no autorizados, robos y manipulaciones en el registro de asistencia. Las tarjetas de acceso basadas en UID y las tarjetas MIFARE Classic pueden copiarse en segundos, con dispositivos de venta libre por menos de 50 euros.

En esta publicación explicamos por qué la lectura de UID y MIFARE Classic representan un riesgo de seguridad y cómo un control de acceso moderno y cifrado para obras basado en MIFARE DESFire EV3 elimina por completo este problema.

Copiar una tarjeta de acceso: por qué las tarjetas RFID basadas en UID son inseguras

La mayoría de los sistemas de acceso sencillos solo leen el UID (Unique Identifier) de una tarjeta: un número de serie grabado de fábrica que se asigna durante la fabricación. El problema: este UID se transmite sin cifrar en cada lectura. No se produce ninguna autenticación entre la tarjeta y el lector.

En concreto, esto significa:

Cualquier smartphone con NFC puede leer el UID de una tarjeta de acceso en cuestión de segundos.
Los clonadores de UID están disponibles en Internet desde unos 30 euros y crean una copia funcional en una tarjeta vacía.
El sistema de acceso no puede distinguir si se trata de la tarjeta original o de una copia.

En una obra, esto significa: cualquier persona que se acerque, aunque sea brevemente, a una tarjeta de acceso puede obtener acceso sin ser detectada. Las consecuencias son personas no autorizadas, robo de material de construcción y manipulaciones en el registro de asistencia.

MIFARE Classic descifrada: por qué estas tarjetas de acceso no ofrecen seguridad

Muchos proveedores apuestan por las tarjetas MIFARE Classic y las anuncian como “seguras” porque, a diferencia de la simple lectura de UID, ofrecen un cifrado. Pero esta seguridad es engañosa.

MIFARE Classic utiliza el algoritmo propietario Crypto-1, que ya fue completamente descifrado en 2008. Desde entonces, hay varios métodos de ataque documentados públicamente:

Ataque Darkside: Permite extraer las claves incluso cuando no se conoce ni un solo sector de la tarjeta.
Ataque Nested: Si se conoce una clave (p. ej. la de fábrica), todas las demás claves pueden calcularse en pocos minutos.
Ataque Hardnested: Funciona incluso con claves configuradas individualmente y solo requiere un dispositivo Proxmark o Flipper Zero.

Importante saber:

Todas las herramientas para clonar tarjetas MIFARE Classic están disponibles libremente y no requieren conocimientos de experto. Un Flipper Zero de unos 200 euros basta para copiar por completo tarjetas MIFARE Classic en pocos minutos.

El resultado: MIFARE Classic ya no ofrece ninguna seguridad digna de mención y es sencillamente inadecuada para su uso en el control de acceso en obras, por las que entran y salen cientos de personas.

Lea también: Pases de obra: mantenga el control sobre los empleados

Tarjetas de acceso a prueba de falsificaciones: así funciona el cifrado MIFARE DESFire EV3

Bausicht apuesta por MIFARE DESFire EV3, el estándar industrial actual para tarjetas de acceso sin contacto de alta seguridad. A diferencia de MIFARE Classic, DESFire EV3 se basa en el estándar de cifrado AES-128, que también se utiliza en la banca y en organismos gubernamentales.

Las características de seguridad decisivas:

Autenticación mutua: La tarjeta y el lector se autentican mutuamente antes de intercambiar datos. Esto excluye una simple lectura o interceptación.
Comunicación cifrada: Todos los datos entre la tarjeta y el lector se transmiten cifrados con AES. Una escucha del enlace por radio solo proporciona datos inservibles.
Claves diversificadas: Cada tarjeta individual recibe una clave única e individual para esa tarjeta. Incluso si un atacante lograra extraer la clave de una tarjeta concreta, ninguna otra tarjeta quedaría comprometida.

¿Qué significa Key Diversification?

En la Key Diversification (diversificación de claves), a partir de una clave maestra secreta y de información individual de la tarjeta (p. ej. el UID) se deriva una clave de tarjeta única mediante algoritmos conformes a NIST. La clave maestra nunca abandona el Secure Access Module.

El procedimiento garantiza que:

Ninguna clave de tarjeta sea igual a otra, incluso con miles de tarjetas en el sistema.
La clave maestra nunca quede expuesta, ni en la tarjeta ni en el lector.
Una copia de una tarjeta de acceso sea imposible, ya que la clave de la tarjeta no puede extraerse de la tarjeta.

Secure Access Module (SAM): almacenamiento de claves a prueba de manipulaciones para su control de acceso

Un elemento central de nuestra arquitectura de seguridad es el Secure Access Module (SAM AV3), un chip criptográfico a prueba de manipulaciones con certificación EAL5+. Este módulo se utiliza tanto en el lector de tarjetas USB del PC como en los controladores de acceso de la obra.

El SAM asume las siguientes tareas:

Almacenamiento seguro de claves: Las claves maestras se guardan exclusivamente en el SAM y nunca lo abandonan, ni siquiera ante un ataque físico al lector.
Operaciones criptográficas: Todos los procesos de cifrado y descifrado tienen lugar directamente en el SAM. La clave no se deposita en ningún momento en la memoria de trabajo del controlador o del PC.
Protección contra manipulaciones: La certificación EAL5+ confirma que el chip está protegido contra ataques físicos (ataques de canal lateral, probing, fault injection).

Incluso si un atacante desmontara un lector de acceso de la pared y desarmara el dispositivo por completo, no podría extraer las claves almacenadas.

Control de acceso cifrado en la obra: de la tarjeta al servidor

La seguridad no termina en la tarjeta de acceso. Bausicht garantiza una cadena de comunicación cifrada de extremo a extremo, desde el momento de la lectura de la tarjeta hasta el procesamiento en el servidor:

1. Tarjeta → Lector (sin contacto)

La comunicación entre la tarjeta MIFARE DESFire EV3 y el lector se realiza mediante una sesión cifrada con AES-128 con autenticación mutua. Una escucha o un ataque de repetición quedan excluidos.

2. Lector → Controlador (OSDPv2 Secure Channel)

El lector se comunica con el controlador de acceso mediante el protocolo OSDPv2 con Secure Channel. OSDPv2 es el sucesor del obsoleto protocolo Wiegand y ofrece:

Canal de datos cifrado con AES-128 entre lector y controlador
Autenticación mutua de lector y controlador
Protección contra manipulación, ataques de repetición y ataques man-in-the-middle

Bueno saberlo:

El obsoleto protocolo Wiegand, que todavía se utiliza en muchos sistemas de acceso, transmite los datos sin cifrar. Con un simple sniffer Wiegand de unos 20 euros, los datos de las tarjetas pueden interceptarse directamente en el cable, sin necesidad de acceder a la tarjeta.

3. Controlador → Servidor (TLS)

La comunicación entre el controlador de acceso y el servidor de Bausicht se realiza mediante una conexión cifrada con TLS. Todos los datos de acceso se transmiten cifrados y se procesan de forma segura en el servidor.

Crear pases de obra seguros: Plug & Play a pesar de los estándares de seguridad para infraestructuras críticas

A pesar de esta amplia arquitectura de seguridad, la configuración para usted como cliente es extremadamente sencilla. Bausicht pone a su disposición una aplicación para Microsoft Windows y un plugin para el navegador Chrome, con los que puede asignar nuevas tarjetas de acceso cifradas en pocos segundos:

Conectar al PC el lector de tarjetas USB con SAM integrado
Abrir la aplicación de Bausicht o el plugin de Chrome
Seleccionar al empleado y colocar la tarjeta. Listo

Toda la derivación de claves, el cifrado y la escritura de la tarjeta se ejecutan automáticamente en segundo plano. No necesita ningún conocimiento especializado en criptografía ni en seguridad informática. El sistema realiza de forma totalmente automática todos los pasos relevantes para la seguridad.

Resumen: el control de acceso seguro para obras de un vistazo

Componente	Tecnología	Nivel de seguridad
Tarjeta de acceso	MIFARE DESFire EV3	AES-128, claves individuales por tarjeta
Almacén de claves	Secure Access Module (SAM AV3)	Certificado EAL5+, a prueba de manipulaciones
Tarjeta ↔ Lector	DESFire Secure Messaging	Cifrado AES, autenticación mutua
Lector ↔ Controlador	OSDPv2 Secure Channel	Cifrado AES-128, autenticación bidireccional
Controlador ↔ Servidor	TLS	Cifrado de extremo a extremo
Asignación de tarjetas	App de Windows / Plugin de Chrome + lector USB con SAM	Plug & Play, a prueba de robo

A diferencia de los sistemas basados en UID o MIFARE Classic, Bausicht ofrece un control de acceso para obras cifrado sin fisuras, en el que copiar una tarjeta de acceso es imposible. Al mismo tiempo, el manejo sigue siendo tan sencillo como en cualquier otro sistema, solo que seguro.

Ideal para proyectos de infraestructuras críticas y zonas de alta seguridad

La arquitectura de seguridad de Bausicht, cifrada de extremo a extremo, no solo es adecuada para obras convencionales, sino que resulta especialmente apropiada para proyectos de infraestructuras críticas y zonas de alta seguridad. Allí donde se imponen las máximas exigencias al control de acceso, nuestro sistema ofrece la base de seguridad necesaria:

Centros de datos: Los operadores de infraestructuras informáticas críticas están sujetos a estrictos requisitos legales, como la directiva NIS-2. Un control de acceso a prueba de falsificaciones con cifrado AES-256 y módulos SAM a prueba de manipulaciones cumple estos requisitos.
Instalaciones militares: En la construcción y el mantenimiento de instalaciones militares, el acceso está estrictamente regulado. Las claves individuales por tarjeta y los chips criptográficos con certificación EAL5+ garantizan que no sea posible ningún acceso no autorizado.
Bancos e instituciones financieras: Desde la construcción de una nueva sucursal bancaria hasta la reforma de una cámara acorazada, la combinación de DESFire EV3, OSDPv2 Secure Channel y cifrado TLS cumple los estándares de seguridad del sector financiero.
Suministro energético e infraestructuras de servicios: Las centrales eléctricas, las subestaciones y las plantas de agua se encuentran entre las áreas más sensibles de los servicios públicos esenciales. Un control de acceso en el que las copias de tarjetas son imposibles resulta aquí imprescindible.

Bueno saberlo:

El control de acceso de Bausicht cumple los requisitos de seguridad conforme a la protección básica del BSI (la autoridad alemana de seguridad informática) y es adecuado para proyectos sujetos a la normativa de protección de infraestructuras críticas y a la directiva NIS-2.

Lea también: Robo en la obra: así se protege eficazmente

Control de acceso seguro para su obra con Bausicht

¿Desea proteger su obra o su proyecto de infraestructura crítica con tarjetas de acceso a prueba de falsificaciones basadas en MIFARE DESFire EV3? Con el control de acceso digital de Bausicht obtiene una solución cifrada de extremo a extremo, desde la tarjeta hasta el servidor. Convénzase usted mismo y pruébelo 14 días gratis.

Probar ahora 14 días gratis

¡Lleve su conocimiento a otro nivel!

Reciba plantillas y descargas gratuitas y manténgase al día con los últimos avances y tendencias de la industria de la construcción.

Profundice en sus Conocimientos

Descubra información valiosa sobre la industria de la construcción a través de nuestras publicaciones del blog mientras nos encargamos de su solicitud.