Las tarjetas RFID (Radio Frequency IDentification, identificación por radiofrecuencia) interactúan mediante tecnología inalámbrica cuando están junto a dispositivos específicos de dicha tecnología. Un dispositivo con capacidad de escritura graba en la tarjeta por radiofrecuencia unos códigos con la identidad atribuida a la persona que la porta, y cada vez que la persona presenta la tarjeta en un dispositivo receptor, lee dicha identidad. A partir de dicho momento se puede utilizar la identidad de la persona en la tarjeta para abrir una puerta, o para realizar una firma electrónica, por ejemplo.

Los dispositivos móviles actuales con tecnología NFC pueden también funcionar como tarjetas o como dispositivos de lectura y escritura de tarjetas. Y gracias a ello podemos por ejemplo pagar con nuestro smartphone en un datáfono, que lo reconoce como la tarjeta bancaria del dueño de dicho dispositivo. O incluso que otro smartphone se use como datáfono para leer tarjetas RFID.

En lo que respecta a la firma electrónica en la industria farmacéutica, el uso de tarjetas RFID permite una autenticación cómoda y rápida para demostrar la identidad respecto al uso de códigos que hay que recordar e ir modificando con políticas eficientes contra los hackers. Y además es una tecnología barata y sencilla de incorporar. No obstante, presenta una serie de inconvenientes, que pasamos a analizar, que la hacen inutilizable como medio único de autenticación de los empleados de la industria farmacéutica. En el sector de la banca, por ejemplo, conscientes de estas dificultades, añadieron un segundo factor de autenticación mediante el uso adicional de un PIN o contraseña. Pero claro, esto conlleva a que en la industria farmacéutica se siga manteniendo el sistema de contraseñas igualmente, y el uso de las tarjetas RFID no estaría aportando valor.

A pesar de los beneficios sustanciales que ofrecen, las tarjetas no están exentas de ciertos desafíos e inconvenientes. Entre los desafíos comunes se encuentran:

• Pérdida o extravío de tarjetas permitiendo un acceso no autorizado:

En caso de extravío o robo de una tarjeta, se corre el riesgo de que una suplantación de identidad permita al suplantador acceder a áreas no autorizadas, utilizar softwares de producción para obtener información restringida o hacer uso de maquinaria de forma indebida. Esto compromete la seguridad del entorno.

• Mayor facilidad para la suplantación de identidad.

En entornos sin medidas adicionales de autenticación, el riesgo de suplantación de identidad mediante el uso de tarjetas RFID se vuelve significativo. Esto no solo conlleva la posibilidad de realizar acciones no autorizadas al acceder a entornos o equipos bajo la identificación de otro individuo, sino que también abre la puerta a escenarios donde un individuo podría firmar tareas de fabricación en nombre de otro empleado, comprometiendo los datos almacenados en el sistema. Esta vulnerabilidad viene dada por el hecho de que las tarjetas son propensas a extravíos y fácilmente susceptibles de ser encontradas por terceras personas. Del mismo modo, la transferencia de las tarjetas, de mano en mano, entre trabajadores, es más sencilla, lo que incrementa la probabilidad de un uso indebido. Este riesgo de suplantación de identidad no solo amenaza la seguridad operativa, sino que también conlleva a incumplimientos graves de la integridad de los registros y datos del sistema.

• Fallo en la protección de datos:

Dependiendo del caso, algunas tarjetas RFID almacenan información en el chip, por lo que una falta de protección adecuada podría dejarla vulnerable a accesos no autorizados y posibles manipulaciones de datos. Esto subraya la importancia de implementar medidas sólidas de seguridad para resguardar la integridad y confidencialidad de la información recopilada.

• Limitaciones fuera del horario laboral:

Las limitaciones se extienden fuera del horario laboral, donde la falta de disponibilidad de personal de soporte informático podría generar desafíos en la resolución inmediata de problemas relacionados con las tarjetas. Para ilustrar estas limitaciones, consideramos un escenario hipotético: Si un empleado olvida o pierde su tarjeta para la firma electrónica, se verá obligado a documentar sus acciones en papel. Más tarde, al recuperar el acceso, deberá ingresar manualmente todas las acciones en los softwares de gestión que utilicen, lo que potencialmente resultaría en demoras en la actualización de la información, lagunas en los registros, pérdida de formularios y una trazabilidad deficiente de las acciones realizadas.

• Sobrecarga de trabajo para el departamento de IT:

Un inconveniente adicional se relaciona con la sobrecarga de trabajo que recae sobre el equipo de IT en la gestión de las tarjetas RFID. Este proceso implica la compra de las tarjetas, la grabación de la identidad de cada empleado en cada una, y su posterior entrega. Cuando un empleado pierde, olvida, daña o le roban la tarjeta, es necesario realizar una nueva, lo que implica un esfuerzo adicional. Además, en casos de olvido, se debe gestionar la recogida de la tarjeta anterior para evitar que el empleado tenga múltiples tarjetas. En resumen, este proceso genera una carga de trabajo significativa para el equipo de IT, afectando la eficiencia y generando un flujo constante de tareas administrativas relacionadas con las tarjetas RFID.

• Duplicación de tarjetas:

La duplicación de tarjetas RFID plantea un riesgo significativo, ya que la capacidad de realizar copias no autorizadas podría conducir a accesos indebidos. Esta situación aumenta la probabilidad de identificaciones fraudulentas, comprometiendo la seguridad del sistema y poniendo en peligro la integridad de la identificación de usuarios. La amenaza de duplicación resalta la importancia de implementar medidas de seguridad robustas para mitigar este riesgo potencial.

Es esencial subrayar que, conforme a las directrices establecidas por la Agencia Europea de Medicamentos (EMA), la utilización exclusiva de tarjetas RFID para la identificación de usuarios no se considera un método lo suficientemente robusto.

La información detallada se puede visualizar en “Concept Paper on the revision of Annex 11 of the guidelines on Good Manufacturing Practice for medicinal products – Computerised Systems”. En concreto, el párrafo 28 detalla la modificación del capítulo 12 del Anexo 11 y establece lo siguiente:

La solución óptima consiste en incorporar la identificación biométrica como firma electrónica. Mediante este método, los usuarios pueden realizar una identificación automática de manera sencilla; basta con dirigir la mirada hacia un sensor de iris (biometría de iris) en cualquier entorno incluso en salas blancas, colocar la huella en un sensor dactilar (biometría de huella dactilar) en entornos donde no se utilicen guantes, o mirar a una cámara en entornos donde el rostro no esté cubierto (biometría facial).

La propia normativa establece que con el uso de la biometría no es necesario un segundo medio de autenticación, al reconocer la máxima seguridad que su uso aporta.

Con la biometría, nos identificamos a través de aspectos inherentes a nuestra propia naturaleza. Esto proporciona un alto nivel de seguridad, ya que resulta imposible que alguien nos robe o copie físicamente. A diferencia de las tarjetas que pueden ser duplicadas o robadas, la biometría ofrece comodidad, seguridad, eficiencia y ahorro de tiempo. Te invitamos a leer nuestro artículo “Firma electrónica con biometría en los procesos de fabricación farmacéutica” donde podrás obtener más información sobre el uso de biometría como solución ideal para la identificación de empleados.

Descubre como Verázial ID Pharma soluciona todos los problemas de identificación de empleados en los procesos de fabricación farmacéutica.

Contacta con nosotros para una demostración y/o estudio personalizado.