Carrito
Entrega 24-48h
¿Sigue siendo seguro MIFARE Classic?
Es la pregunta que más veces recibe un responsable de seguridad cuando alguien revisa el sistema de control de acceso de su empresa. Las tarjetas MIFARE Classic llevan décadas instaladas en edificios de todo el mundo y la mayoría funcionan sin incidentes visibles.
Pero en el sector de la seguridad, que algo funcione sin problemas observables no es lo mismo que ser seguro.
Este artículo ofrece una respuesta honesta a esa pregunta. Sin alarmismo injustificado ni defensa ciega de una tecnología con problemas documentados. El MIFARE Classic sigue siendo válido en algunos contextos, ya no lo es en otros, y la clave está en saber distinguirlos.
También en nuestro catálogo encontrarás las etiquetas RFID MIFARE con chip EV1 que cubren los casos donde el Classic ya no da la talla.
¿Cuáles son las vulnerabilidades más conocidas del MIFARE Classic?
El MIFARE Classic usa el algoritmo de cifrado propietario CRYPTO1, un registro de desplazamiento lineal (LFSR) de 48 bits desarrollado por NXP en los años noventa. En aquel momento era una solución razonable para el hardware disponible.
El problema es que NXP lo mantuvo en secreto bajo el principio de «seguridad por oscuridad»: no publicar los detalles del algoritmo como estrategia de protección.
Esa estrategia se rompió en 2007, cuando los investigadores Karsten Nohl y Henryk Plötz presentaron en el Chaos Communication Congress el resultado de haber realizado ingeniería inversa del chip MIFARE Classic 1K bajo microscopio electrónico.
Un año después, en 2008, publicaron el algoritmo CRYPTO1 completo con sus vulnerabilidades. Desde entonces el ecosistema de ataque no ha parado de crecer.
Las vulnerabilidades prácticas de CRYPTO1 son concretas y documentadas.
La primera es la clave de espacio pequeño: 48 bits permiten un ataque de fuerza bruta en tiempo razonable con el hardware actual.
La segunda es el generador de números pseudoaleatorios predecible: el nonce que la tarjeta envía al lector durante la autenticación puede ser predecible en algunas implementaciones, lo que permite ataques de tipo «nested» para deducir las claves de sector sin fuerza bruta.
La tercera, descubierta en 2015 por Meijer y Verdult, demostró que todas las vulnerabilidades restantes de CRYPTO1 hacen imposible construir un sistema verdaderamente seguro que sea compatible con la implementación original.
En la práctica, con una herramienta como el Proxmark3 (disponible comercialmente por menos de 100 euros) y las claves de fábrica sin cambiar, una tarjeta MIFARE Classic puede leerse y clonarse en minutos.
Con las claves personalizadas configuradas correctamente, el ataque requiere más tiempo y conocimiento, pero sigue siendo posible con los ataques nested documentados.
En 2024 se publicó además el descubrimiento de una backdoor key presente en chips de múltiples fabricantes que permite acceder a los sectores sin autenticación estándar, lo que agrava el panorama para instalaciones con chips de origen no verificado.
Esta información no es ningún secreto del sector: está documentada en publicaciones académicas, herramientas de código abierto y decenas de demostraciones públicas.
Un cliente B2B que investiga antes de renovar su sistema de acceso ya la conoce o la va a encontrar. Ignorarla en un análisis de seguridad sería hacerle un flaco favor.
¿En qué contextos el MIFARE Classic sigue siendo suficiente?
La respuesta directa: el MIFARE Classic sigue siendo suficiente cuando el sistema tiene capas adicionales de seguridad que no dependen únicamente del cifrado del chip. Eso es más frecuente de lo que parece.
El primer contexto donde el Classic sigue siendo válido es en sistemas con validación online en servidor.
Si el lector no toma la decisión de acceso de forma autónoma (es decir, si cada intento de acceso se valida en tiempo real contra una base de datos central) entonces comprometer el chip de la tarjeta no garantiza el acceso.
El sistema puede detectar UIDs duplicados, tarjetas usadas fuera de horario o intentos de acceso anómalos y rechazarlos aunque el chip sea una copia. En este esquema, el MIFARE Classic sigue funcionando porque la tarjeta actúa principalmente como portador del UID, no como el único elemento de seguridad del sistema.
El segundo contexto es en instalaciones de acceso a zonas de bajo riesgo donde las consecuencias de un acceso no autorizado son limitadas.
El aparcamiento de una empresa sin acceso a instalaciones críticas, la sala de descanso de empleados, el vestuario de un gimnasio. En estos entornos, el riesgo de que un atacante invierta tiempo y herramientas para clonar una tarjeta MIFARE Classic no justifica económicamente el ataque.
La seguridad real de cualquier sistema depende también del atractivo que representa el objetivo para un potencial atacante.
El tercer contexto es en sistemas heredados con infraestructura que no puede actualizarse a corto plazo. Hay instalaciones donde cambiar los lectores, la controladora o el software de gestión tiene un coste o una complejidad operativa que no puede asumirse en el corto plazo.
En esos casos, mantener el Classic mientras se planifica la migración ordenada es una decisión pragmática, siempre que se complementen con medidas de mitigación: activar listas negras de UIDs conocidos, limitar el acceso por horarios y zonas, y revisar los registros de acceso con regularidad.
¿En qué contextos el MIFARE Classic ya no es recomendable?
El MIFARE Classic ya no es recomendable en cualquier instalación donde el acceso que controla la tarjeta tiene consecuencias significativas si se compromete, y donde el sistema depende del cifrado del chip como capa principal de seguridad.
El primer caso claro son los edificios corporativos con acceso a datos sensibles. Servidores, archivos de RRHH, departamentos de I+D, zonas de desarrollo de producto.
Un atacante con tiempo y herramientas puede clonar una tarjeta de empleado y acceder a esas zonas sin dejar rastro en los sistemas de vigilancia visual. La relación entre el coste del ataque y el valor del objetivo favorece al atacante.
El segundo caso son las instalaciones donde el sistema toma decisiones de acceso de forma autónoma sin validación en servidor. Muchas instalaciones medianas y pequeñas funcionan así: el lector tiene una lista de UIDs autorizados en su memoria local y decide el acceso sin consultar ningún servidor.
En ese esquema, clonar la tarjeta de cualquier empleado autorizado es suficiente para acceder al sistema completo.
El tercero es cualquier proyecto nuevo que empiece desde cero. No hay ninguna razón técnica ni económica para comenzar una nueva instalación de control de acceso con MIFARE Classic cuando el MIFARE EV1 está disponible al mismo precio relativo y con AES-128.
Las vulnerabilidades del Classic son conocidas, sus costes de migración futura son predecibles, y el coste incremental del EV1 en un proyecto nuevo es mínimo comparado con el coste de una migración posterior.
Consulta nuestro catálogo de modelos de tarjetas MIFARE disponibles con chip EV1 en formato tarjeta, llavero y etiqueta adhesiva, con opciones de personalización y envío en 24-48 horas.
MIFARE EV1 como alternativa segura: diferencias clave
El MIFARE EV1 es el sucesor natural del Classic para entornos con requisitos de seguridad medios y altos.
Su diferencia fundamental es el cifrado: donde el Classic usa CRYPTO1 de 48 bits con vulnerabilidades documentadas, el EV1 usa AES-128, el estándar de cifrado sin vulnerabilidades prácticas conocidas que protege comunicaciones bancarias, gubernamentales y militares.
Además del cifrado, el EV1 incorpora autenticación mutua: no solo el lector verifica que la tarjeta tiene la clave correcta, sino que la tarjeta verifica que el lector también la tiene. Eso impide los ataques de tipo relay o de lector falso que son posibles en sistemas Classic.
La compatibilidad del EV1 con los sistemas existentes es mejor de lo que muchos gestores de seguridad asumen. Muchos lectores modernos instalados en los últimos años soportan tanto MIFARE Classic como EV1 mediante actualización de firmware, lo que significa que la migración puede hacerse sin cambiar el hardware de campo.
La inversión en lectores no queda obsoleta.
Para ver los casos de uso concretos del EV1 en entornos empresariales, incluyendo el análisis de ROI de la migración desde Classic, consulta nuestro artículo sobre MIFARE EV1 en empresas.
Para entender todas las diferencias técnicas entre los tres chips principales de la familia, consulta nuestro análisis de las diferencias entre MIFARE Classic, Ultralight y EV1.
¿Cómo migrar de MIFARE Classic a EV1 sin cambiar toda la infraestructura?
La migración de Classic a EV1 no tiene que ser un proyecto de sustitución masiva de un día para otro. El enfoque más habitual y más económico es la migración gradual en tres fases.
La primera fase es verificar la compatibilidad de los lectores existentes con el chip EV1. La mayoría de lectores instalados en los últimos ocho a diez años soportan ISO 14443A con múltiples protocolos.
El fabricante del lector o el integrador del sistema puede confirmar si el firmware actual soporta AES-128 o si existe una actualización disponible. En muchos casos, la actualización de firmware es gratuita o de bajo coste.
La segunda fase es configurar los lectores en modo dual durante el periodo de transición. Con ese modo activo, el sistema acepta simultáneamente tarjetas Classic y EV1.
Eso permite emitir nuevas tarjetas EV1 a medida que las Classic se renuevan por baja de empleado, pérdida o deterioro, sin que los usuarios con tarjeta Classic vean interrumpido su acceso.
La tercera fase es desactivar el modo Classic en los lectores cuando la proporción de tarjetas EV1 en circulación sea suficientemente alta.
Ese umbral lo decide el responsable de seguridad de la instalación en función de cuántas tarjetas Classic quedan activas y el riesgo aceptable durante el periodo de transición.
En instalaciones donde el número de empleados es pequeño, la migración completa puede hacerse en pocas semanas simplemente reemitiendo todas las tarjetas de una sola vez.
En instalaciones grandes con cientos o miles de usuarios, la migración gradual puede durar varios meses, pero el sistema mantiene su operatividad completa durante todo el proceso.
Entrega 24h-48h
1,50 €
Se trata de un llavero NFC fabricado en ABS con una gran distancia de lectura, compatible con toda clase de dispositivos móviles y lista para trabajar en entornos difíciles, ya que soporta humedad, golpes, etc...
También disponible con cualquier otro chip, contacta con nuestro equipo si necesitas presupuesto.
Entrega 24-48h.
500,00 €
Elige tu pack de pulseras de silicona a un fantástico precio!
Un producto NFC ideal para su uso en exterior, totalmente impermeable y muy resistente.
1,36 €
Tarjeta NFC Mifare Classic® S50. Impresión de alta calidad offset. Opcional impresión de ID. Fabricada en PVC duro.
Entrega 24h-48h
1,14 €
Se trata de una etiqueta adhesiva cuadrada de 1K de alta calidad.
ATENCIÓN: Las etiquetas NFC de 1K no pueden ser leídas por todos los modelos de Smartphone asegúrate de que el tuyo si lo hace.
También disponible con cualquier otro chip, contacta con nuestro equipo si necesitas presupuesto.
Entrega 24h-48h
115,00 €
Elige tu pack de llaveros de 1K a un fantástico precio!
Se trata de un llavero NFC fabricado en ABS con una gran distancia de lectura, compatible con toda clase de dispositivos móviles y lista para trabajar en entornos difíciles, ya que soporta humedad, golpes, etc...
Entrega en 24h-48h*
54,28 €
Lector NFC USB es un lector de tarjetas de proximidad compatible con tarjetas de tecnología Mifare, ISO 14443 A y B,NFC y FeliCa.
Funciona a 13.56 MHz y cumple con la norma ISO/IEC18092 de Near Field Communication (NFC). Es compatible con el driver genérico CCID y PC/SC, por lo que permite una fácil interoperalibidad con diferentes dispositivos y...
Entrega en 48h
180,00 €
El Kit de desarrollo SDK AIR II es un equipo completo que permite el desarrollo de aplicaciones y sistemas personalizados utilizando tarjetas de proximidad Mifare®, FeliCa y NFC.
0,90 €
Tarjeta NFC de PVC de alta calidad. Acabado impecable en mate o brillo, con chip Mifare Ultralight EV1 y opcional impresión de ID.
Impresión offset.
Conclusión
El MIFARE Classic tiene vulnerabilidades reales y documentadas que no deben ignorarse. Pero tampoco es una tecnología que haya que reemplazar de forma urgente en todos los contextos.
La respuesta correcta depende del entorno: si el sistema tiene validación en servidor y las consecuencias de un acceso no autorizado son limitadas, el Classic puede mantenerse con medidas de mitigación complementarias.
Si el sistema depende del cifrado del chip como capa principal de seguridad y protege activos o instalaciones de valor real, la migración a MIFARE EV1 es la decisión correcta.
La buena noticia es que esa migración es más asequible de lo que parece: muchos lectores existentes la soportan mediante actualización de firmware, y el proceso puede hacerse de forma gradual sin interrumpir la operativa del sistema.
En resumen
- CRYPTO1, el cifrado del MIFARE Classic, tiene vulnerabilidades documentadas desde 2008 y herramientas de explotación accesibles. Con las claves de fábrica sin cambiar, una tarjeta puede clonarse en minutos. Con claves personalizadas, el ataque requiere más esfuerzo pero sigue siendo posible.
- El Classic sigue siendo suficiente en sistemas con validación online en servidor, en accesos a zonas de bajo riesgo y en instalaciones heredadas donde la migración se planifica a medio plazo con medidas de mitigación complementarias.
- El Classic ya no es recomendable en proyectos nuevos, en instalaciones con decisión autónoma de acceso sin servidor, y en entornos donde protege datos sensibles o activos de alto valor.
- El MIFARE EV1 con AES-128 es la alternativa sin vulnerabilidades prácticas conocidas, con autenticación mutua y compatible con muchos lectores Classic existentes mediante actualización de firmware.
- La migración puede hacerse en tres fases sin interrumpir la operativa: verificar compatibilidad de lectores, activar modo dual Classic/EV1, y desactivar Classic cuando el parque de tarjetas EV1 sea suficiente.
Si estás evaluando la migración de MIFARE Classic a EV1 en tu instalación, en nuestro catálogo de etiquetas RFID MIFARE encontrarás tarjetas y llaveros con chip EV1 disponibles con stock permanente y envío en 24-48 horas desde España.
Preguntas frecuentes sobre la seguridad del MIFARE Classic
¿Se puede clonar una tarjeta MIFARE Classic con un smartphone?
Depende del modelo de teléfono y de las claves de la tarjeta. Con aplicaciones específicas en Android y tarjetas que tienen las claves de fábrica sin cambiar, la lectura básica del UID es posible. Clonar completamente los sectores autenticados requiere conocer las claves del sistema, lo que implica un ataque previo de tipo nested o fuerza bruta. Con un lector dedicado como el Proxmark3, el proceso es significativamente más rápido que con un smartphone.
¿Las claves personalizadas en los sectores del MIFARE Classic lo hacen seguro?
Las claves personalizadas eliminan el vector de ataque más básico (claves de fábrica públicas) y dificultan los ataques de diccionario. Sin embargo, no eliminan las vulnerabilidades intrínsecas de CRYPTO1: los ataques de tipo nested documentados desde 2008 pueden recuperar claves personalizadas con herramientas y tiempo suficiente. Para entornos de bajo riesgo con validación en servidor, las claves personalizadas son una capa de protección razonable. Para entornos de riesgo medio o alto, no son suficientes por sí solas.
¿El MIFARE Classic EV1 es más seguro que el Classic original?
El MIFARE Classic EV1 es una mejora incremental sobre el Classic original con un generador de números pseudoaleatorios mejorado y funciones adicionales. Sin embargo, sigue usando CRYPTO1 como algoritmo de cifrado. Las investigaciones publicadas en 2015 demostraron que las vulnerabilidades son intrínsecas al protocolo y no pueden resolverse sin cambiar el algoritmo. El EV1 es más difícil de atacar que el Classic original, pero comparte el mismo fallo estructural de fondo. Para seguridad real sin vulnerabilidades prácticas, el MIFARE EV1 con AES-128 es el chip correcto.
Productos y etiquetas NFC
Envío en 24h-48h.
0,87 €
Se trata de una etiqueta NFC adhesiva NTAG 213 con una gran distancia de lectura, compatible con toda clase de dispositivos móviles.
También disponible con cualquier otro chip y tamaño, contacta con nuestro equipo si necesitas presupuesto.
Entrega 24-48h
50,00 €
Elige tu pack de llaveros NFC Ultralight EV1 a un precio fantástico!
Llavero NFC Ultralight EV1 fabricado en ABS super resistente y con una gran distancia de lectura, compatible con toda clase de dispositivos móviles y lista para trabajar en entornos difíciles, ya que soporta humedad, golpes, etc...
Entrega 24-48h.
500,00 €
Elige tu pack de pulseras de silicona a un fantástico precio!
Un producto NFC ideal para su uso en exterior, totalmente impermeable y muy resistente.
0,96 €
Tarjeta NFC de PVC de alta calidad. Acabado impecable en mate o brillo, con chip NTAG 213 y opcional impresión de ID.
Impresión offset.
Entrega 24-48h.
Pegatinas NFC - Etiquetas Adhesivas
NTAG 213 Antimetal - Etiqueta Adhesiva NFC - 29 mm diam.
AX00010
0,87 €
Uno de nuestros superventas. Se trata de una etiqueta NFC fabricada con aislamiento antimetálico y chip NTAG 213, con una gran distancia de lectura, compatible con toda clase de dispositivos móviles y lista para trabajar en entornos difíciles, ya que soporta humedad, calor, etc...
También disponible con cualquier otro chip y tamaño, contacta con nuestro...
Facilidad de uso y diseño compacto para el equipo de alto rendimiento RFID UHF RAIN® Mercury (M6) Capacidades operativas de servicio robustas y la mayor potencia de transmisión de la industria para un lector con capacidad de Power over Ethernet (PoE). Estas características hacen que el M6 sea adecuado para entornos empresariales, comerciales e...
