Resumen de Diseño de aplicaciones y servicios seguros basados en tecnología NFC
El objetivo principal de esta tesis doctoral se resume en los siguientes dos puntos:
a) El diseño y validación de sistemas de información contextualizada baratos, escalables, eficientes y seguros apoyados con el uso de etiquetas NFC distribuidas trabajando en modo de operación Lector/Escritor en dominios de aplicación especialmente interesantes por sus requisitos de seguridad y privacidad.
b) La propuesta y validación de un modelo de amenazas para la seguridad de estos sistemas basados en la utilización de NFC en modo Lector/Escritor.
Para ello, se analiza en primer lugar el funcionamiento de la tecnología NFC, específicamente en modo de operación Lector/Escritor, y los dominios de aplicación en los que sus características pueden resultar más beneficiosos, con especial énfasis en los aspectos de seguridad y privacidad.
A continuación se crea y se valida una prueba de concepto de aplicación NFC en el ámbito académico, para facilitar la evaluación anónima en exámenes y pruebas similares, que permite evaluar aspectos de la privacidad y el anonimato selectivo de los examinandos en las fases críticas del proceso de corrección y evaluación Posteriormente, se crea y se valida una segunda prueba de concepto de aplicación NFC, también orientada al entorno académico para el control continuado de asistencia, combinando NFC y VLC (Visible Light Communications, Comunicaciones mediante luz en el espectro visible), que permite explorar las posibilidades de ambas tecnologías de proximidad para generar una prueba de presencia en espacios interiores.
Finalmente, se identifican las amenazas que el uso NFC en modo Lector/Escritor supone para los diferentes agentes involucrados en estos casos de uso, teniendo en cuenta la seguridad, abordando los potenciales agentes de amenaza en este contexto, sus motivaciones y sus recursos disponible.
Se plantea a continuación el desarrollo de un modelo de amenazas que las identifique claramente, las describa, las categorice y además incluya posibles mitigaciones. Dicho modelado de amenazas para la seguridad se ha desarrollado usando la metodología STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of privilege). La determinación de los puntos críticos para la seguridad y la privacidad de las tecnologías analizadas se ha realizado combinando procesos de documentación con procesos de experimentación gracias a las dos pruebas de concepto desarrolladas previamente
