Home/Glosario de RFID y tarjetas de campus

Glosario de RFID y tarjetas de campus

Referencia en lenguaje claro para los términos que surgen al planificar un programa de tarjetas de campus: estándares de chips, bandas de frecuencia, cifrado, billeteras móviles y las plataformas disponibles en el mercado actual.

Estándares y protocolos

ISO 7810— ID-1, ID-2, ID-3: Estándar internacional que define las dimensiones físicas de las tarjetas de identificación. ID-1 (tamaño de tarjeta de crédito, 85,6 × 54 mm) es el factor de forma utilizado para las tarjetas de identificación estudiantil y de control de acceso.
ISO 7816: Estándar para tarjetas con un chip de contacto dorado visible. Define la disposición de los pines, las señales eléctricas y el conjunto de comandos para las tarjetas inteligentes de contacto.; Las tarjetas de doble credencial utilizan ISO 7816 para el lado de contacto e ISO 14443A para el lado sin contacto. Las tarjetas bancarias con chip EMV cumplen con el estándar ISO 7816.
ISO 14443A: Estándar internacional para tarjetas inteligentes sin contacto de proximidad que operan a 13,56 MHz. Es el estándar dominante para las tarjetas de campus modernas, bancarias y de control de acceso.; El Tipo A define la modulación, la anticolisión y el protocolo de transmisión. MIFARE, DESFire, NTAG y la mayoría de las tarjetas de campus sin contacto actuales cumplen con el estándar ISO 14443A. El rango de lectura suele ser de 0 a 10 cm.
ISO 15693— Tarjetas de vecindad: Estándar de tarjeta inteligente sin contacto para lectura de vecindad a 13,56 MHz, con un rango de lectura de hasta 1 a 1,5 m.; Se utiliza para el etiquetado de libros de biblioteca, el seguimiento de activos y algunos sistemas de acceso donde se necesita un mayor rango de lectura. Es menos seguro que ISO 14443A para el uso de credenciales.
ISO 9001: Estándar internacional de gestión de calidad. La certificación ISO 9001 significa que un fabricante sigue un proceso de calidad documentado y auditado. CampusRFID cuenta con la certificación ISO 9001.
FIPS 140-2: Estándar federal de EE. UU. para módulos criptográficos. Es obligatorio para laboratorios de investigación con financiamiento federal y muchas instalaciones de campus vinculadas al gobierno.; Cuando un entorno de campus requiere criptografía validada por FIPS 140-2, tanto la familia de chips (DESFire EV2/EV3, Seos) como el proceso de gestión de claves en el emisor deben estar dentro del alcance.
NFC— Comunicación de campo cercano (NFC): Protocolo inalámbrico de corto alcance (≤4 cm) que amplía el estándar ISO 14443 a interacciones de igual a igual entre teléfono y lector, y entre teléfono y etiqueta.; NFC es lo que permite que funcionen las credenciales de campus en Apple Wallet y Google Wallet. El teléfono emula una tarjeta inteligente sin contacto en modo de emulación de tarjeta.

Familias de chips

Tarjeta inteligente: Cualquier tarjeta con un microprocesador o chip de memoria integrado. Incluye tarjetas de contacto (ISO 7816), sin contacto (ISO 14443) y de doble interfaz. Se distingue de las tarjetas que solo tienen banda magnética.
MIFARE Classic: Familia de chips sin contacto heredada de NXP que utiliza Crypto-1 (ahora considerado obsoleto y vulnerable). Todavía se implementa ampliamente en sistemas de campus más antiguos, pero no se recomienda para nuevas aplicaciones de alta seguridad.; Se han demostrado vulnerabilidades criptográficas desde 2008. Las tarjetas se pueden clonar con hardware de nivel de consumidor. La migración a DESFire EV2/EV3 es la ruta de actualización estándar.
MIFARE DESFire EV1 / EV2 / EV3: Familia de chips sin contacto de alta seguridad de NXP que utiliza cifrado AES-128 y autenticación mutua. EV3 (la generación actual) añade Secure Unique NFC y Transaction MAC.; DESFire EV2 y EV3 son el estándar de facto para el acceso moderno de alta seguridad en el campus. Cada tarjeta contiene múltiples aplicaciones (acceso, pago, biblioteca) con claves separadas. La resistencia a la clonación es criptográfica, no solo por oscuridad.
HID iCLASS SE / Seos: Familia de credenciales de alta seguridad de 13,56 MHz de HID Global. iCLASS SE es la generación heredada; Seos es la generación actual con una gestión de claves más sólida y compatibilidad con credenciales móviles.; Común en universidades de Norteamérica y el Reino Unido. A menudo se implementa junto con Apple Wallet / Google Wallet a través de HID Mobile Access. Las tarjetas Seos utilizan un modelo de credencial definido por software que desacopla la credencial del medio de la tarjeta.
LEGIC: Familia de chips sin contacto de Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Fuerte presencia en los mercados universitarios de Suiza y de habla alemana.; LEGIC Advant es compatible con AES-128 y credenciales de múltiples aplicaciones similares a DESFire. LEGIC Prime es la generación más antigua y debería migrarse para nuevas implementaciones de alta seguridad.
NTAG: Familia de etiquetas de NXP compatibles con el NFC Forum (NTAG213/215/216/424 DNA). De menor costo que DESFire, pero adecuadas para marketing, registro en eventos y aplicaciones de menor seguridad.; NTAG 424 DNA añade autenticación de mensajes con cifrado AES-128, lo que lo hace apropiado para algunos escenarios de acceso. Se utiliza ampliamente en credenciales de eventos del campus y en el etiquetado RFID de bibliotecas.
EM4100 / EM4200: Familias de chips de solo lectura de baja frecuencia (125 kHz). Envían un número de serie fijo cuando se energizan. Sin cifrado, se clonan fácilmente.; Comunes en sistemas de acceso heredados y tarjetas de estacionamiento en superficie. Las nuevas implementaciones deberían utilizar 13,56 MHz con cifrado AES-128 en su lugar. A menudo se combinan con chips HF en tarjetas de doble frecuencia para la migración.

Frecuencias y protocolo RFID

LF 125 kHz: Banda RFID de baja frecuencia. Rango corto (5 a 15 cm), sin soporte de cifrado, muy tolerante a entornos con metal y agua.; Dominante en sistemas de acceso heredados (décadas de 1990 y 2000). Las nuevas implementaciones en campus están migrando de LF a favor de HF a 13,56 MHz con cifrado AES-128 porque las credenciales LF son trivialmente clonables.
HF 13,56 MHz: Banda RFID de alta frecuencia utilizada por ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS y Seos. Es la frecuencia dominante para las credenciales de campus modernas.; Rango de lectura de 0 a 10 cm dependiendo del diseño de la antena. Es compatible con la autenticación mutua con cifrado AES-128 cuando se combina con el chip adecuado (DESFire EV2+, Seos).
UHF 860–960 MHz: Banda RFID de ultra alta frecuencia. Rango de lectura largo (1 a 10 m) utilizado para el seguimiento de activos, estacionamiento e inventario de bibliotecas; por lo general, no se usa para credenciales personales.; Protocolo ISO 18000-6C / EPC Gen 2. Impinj Monza es la familia de chips dominante. La ventaja del rango conlleva compromisos de privacidad y seguridad que hacen que UHF sea inadecuado para aplicaciones de tarjetas de identificación estudiantil.
Rango de lectura: Distancia a la que un lector puede energizar y leer de manera confiable una etiqueta. Depende de la frecuencia, el diseño de la antena, la potencia de transmisión y el entorno.; Rango LF típico: 5 a 15 cm. Rango HF: 0 a 10 cm. Rango UHF: 1 a 10 m. Los lectores de presentación manual de tarjetas están sintonizados deliberadamente para un rango corto, con el fin de evitar leer la credencial del titular equivocado.
Anticolisión: Capa del protocolo RFID que permite a un lector detectar y dirigirse a múltiples etiquetas en el campo simultáneamente sin que sus señales interfieran.; ISO 14443A utiliza un algoritmo de recorrido de árbol binario. Es importante para el inventario RFID de bibliotecas (muchos libros leídos a la vez) y para situaciones no intencionales de múltiples tarjetas (dos tarjetas en la misma billetera).

Cifrado y seguridad

AES-128: Estándar de cifrado avanzado (Advanced Encryption Standard) con clave de 128 bits. Es el cifrado utilizado en las credenciales MIFARE DESFire EV2/EV3 y HID Seos.; Combinado con la autenticación mutua (desafío-respuesta), el cifrado AES-128 hace que cada acercamiento de la tarjeta sea una transacción firmada criptográficamente. La clonación de una sola tarjeta no compromete el sistema si se utilizan claves diversificadas.
3DES— Triple DES: Algoritmo de cifrado simétrico más antiguo que utiliza DES tres veces. Es compatible con algunas familias de chips heredadas, pero fue oficialmente declarado obsoleto por el NIST en 2023.; DESFire EV1 era compatible con 3DES; EV2 y EV3 añadieron el cifrado AES-128 y lo han reemplazado. Las nuevas implementaciones deben utilizar el cifrado AES-128 en su totalidad.
Crypto-1: Cifrado de flujo propietario utilizado en MIFARE Classic. Fue sometido a ingeniería inversa en 2008 y ahora se considera fundamentalmente obsoleto y vulnerable.; Las debilidades de Crypto-1 hacen que las tarjetas MIFARE Classic sean clonables con hardware NFC comercial (por ejemplo, Proxmark). Cualquier campus que todavía use Classic debería planificar una migración a DESFire EV2/EV3 o Seos.
Claves diversificadas: Técnica de gestión de claves en la que cada tarjeta deriva una clave de autenticación única a partir de una clave maestra más el UID de la tarjeta. La clonación de una tarjeta no revela la clave maestra.; El estándar de la industria para implementaciones en producción. Las claves maestras residen en un módulo de seguridad de hardware (HSM) en el emisor, no en las tarjetas individuales. CampusRFID puede codificar claves diversificadas en nuestras instalaciones.
Autenticación mutua: Protocolo criptográfico en el que tanto la tarjeta como el lector se verifican mutuamente antes de intercambiar datos. Evita que lectores no autorizados recopilen credenciales y que tarjetas falsas suplanten a las legítimas.
Ataque de repetición: Captura de un intercambio legítimo entre tarjeta y lector para reproducirlo más tarde y suplantar a la tarjeta. Se evita mediante la autenticación mutua con desafíos aleatorios por sesión.; Las tarjetas con UID estático (MIFARE Classic, EM4100) son vulnerables a los ataques de repetición. La autenticación mutua con cifrado AES-128 (DESFire EV2+, Seos) hace que cada intercambio sea único e irrepetible.

Tecnología de credenciales móviles

Elemento seguro (Secure Element)— SE: Chip de hardware resistente a manipulación dentro de teléfonos y tarjetas que almacena claves criptográficas y ejecuta código confidencial. Los dispositivos Apple y la mayoría de los teléfonos insignia de Android tienen un elemento seguro.; Las credenciales móviles de la tarjeta de identificación estudiantil residen dentro del elemento seguro, no en el almacenamiento regular de la aplicación. Los acercamientos en Express Mode funcionan incluso cuando el teléfono está bloqueado porque el elemento seguro puede autenticar sin el sistema operativo.
HCE— Emulación de tarjeta de host (HCE): Función de Android que permite a una aplicación emular una tarjeta inteligente sin contacto a través de software (sin un elemento seguro de hardware).; Algunas plataformas de tarjetas de campus utilizan HCE para teléfonos Android que no son insignia y carecen de un elemento seguro utilizable. Es menos seguro que las credenciales respaldadas por un elemento seguro, pero tiene una compatibilidad más amplia.
BLE— Bluetooth Low Energy: Protocolo de radio de corto alcance utilizado por HID Mobile Access y otros sistemas de credenciales móviles como alternativa o complemento a NFC.; BLE tiene un alcance mayor (1 a 3 m) que NFC, lo que resulta útil para interacciones de manos libres o de tipo 'girar y pasar' (twist-and-go). Requiere que el lector sea compatible con BLE; muchos lectores HID más nuevos lo son, pero la mayoría de las terminales de punto de venta bancarias no.
SIO— Secure Identity Object: Modelo de datos de HID para credenciales en Seos. Desacopla la credencial del medio de la tarjeta: el mismo SIO puede residir en una tarjeta Seos, un token USB Seos o un teléfono celular.
Express Mode: Función de Apple Wallet que permite acercar una credencial sin desbloquear el teléfono ni autenticarse. Funciona hasta 5 horas después de que se agota la batería del teléfono (reserva de energía).; Express Mode es esencial para la tarjeta de identificación estudiantil: los estudiantes no deberían tener que desbloquear su teléfono para entrar a un edificio o pagar el almuerzo. Cada credencial debe estar habilitada específicamente para Express Mode.
Apple Wallet (tarjeta de identificación estudiantil): Plataforma de billetera móvil de Apple con soporte nativo para tarjetas de identificación estudiantil de universidades. Se aprovisiona a través de aplicaciones del campus y plataformas de tarjetas certificadas.; Requiere que el campus esté en una plataforma compatible (Transact, CBORD, Atrium o HID Mobile Access) y que complete el proceso de certificación de Apple. Los estudiantes aprovisionan la credencial dentro de la aplicación del campus, no en la aplicación Wallet.
Google Wallet (tarjeta de identificación estudiantil): Plataforma de billetera móvil de Google con soporte para tarjetas de identificación estudiantil en teléfonos Android con NFC. El flujo de aprovisionamiento es similar al de Apple Wallet.; Disponible en Android 9+ con una plataforma de tarjeta de campus que se haya integrado con Google Wallet. Express Mode permite acercar el dispositivo sin desbloquear el teléfono.

Producción de tarjetas y factores de forma

CR80— ID-1, tamaño de tarjeta de crédito: Factor de forma estándar de tarjeta de crédito: 85,6 × 54 mm × 0,76 mm. Es el formato predeterminado para las tarjetas de identificación estudiantil y de control de acceso.
Tarjeta de doble credencial— Tarjeta de doble interfaz: Tarjeta que cuenta tanto con un chip de contacto (almohadilla dorada visible) como con una antena RFID sin contacto en un solo cuerpo. Permite que una misma tarjeta funcione en lectores de contacto heredados y en lectores modernos sin contacto.; Consulte nuestra página de producto dedicada a las tarjetas de doble credencial.
Banda magnética— Banda magnética (HiCo / LoCo): Tira de material magnético en el reverso de una tarjeta. HiCo (alta coercitividad) retiene los datos por más tiempo; LoCo (baja coercitividad) es más económica y se utiliza para tarjetas de corta duración.; Cada vez más reemplazada por credenciales basadas en chips, pero aún requerida por algunos equipos de campus heredados (sistemas antiguos de lavandería, máquinas expendedoras, préstamo en bibliotecas). A menudo se incluye junto con RFID en las tarjetas de transición.
Personalización: Etapa de producción en la que cada tarjeta se imprime y codifica con datos específicos del titular: nombre, foto, número de identificación, datos de la banda magnética y las claves secretas del chip.; Se realiza de dos maneras: en las instalaciones del fabricante (tarjetas prepersonalizadas en masa enviadas al campus) o en el sitio (el campus emite tarjetas en blanco internamente). CampusRFID es compatible con ambas modalidades.
UID (identificador único)— Identificador único: Número de serie configurado de fábrica en cada chip RFID. El chip lo devuelve en texto claro antes de cualquier autenticación. Se utiliza para derivar claves diversificadas.; Los UID por sí solos no deben utilizarse como credencial, ya que son trivialmente clonables. Sirven como una dirección de identificación de la tarjeta, no como un secreto.

Plataformas y operaciones

Plataformas de tarjetas de campus: Plataformas de software que emiten y gestionan credenciales de campus: Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Cada una vincula la identidad con los sistemas de acceso, pagos y comedores universitarios.; Consulte nuestra guía de sistemas de tarjetas de campus para ver una comparación plataforma por plataforma.
CMS— Sistema de gestión de tarjetas (CMS): Software utilizado por la oficina emisora de tarjetas para inscribir a los titulares, codificar claves, imprimir y reemitir tarjetas. A menudo forma parte de una plataforma de tarjetas de campus.
SSO— Inicio de sesión único (SSO): Protocolo de identidad que permite a los estudiantes iniciar sesión en la aplicación de la tarjeta de campus, el LMS, el WiFi, los sistemas de la biblioteca y las aplicaciones de pago con un solo conjunto de credenciales. Protocolos comunes: SAML, OIDC.
Cantidad mínima de pedido (MOQ)— Cantidad mínima de pedido: La cantidad más pequeña que un fabricante producirá en un solo lote. La cantidad mínima de pedido (MOQ) estándar de CampusRFID es de 500 tarjetas.

Cómo elegir el chip adecuado para su campus

Para nuevas implementaciones y ciclos de actualización en 2026, la lista corta práctica es:

MIFARE DESFire EV2 / EV3: la mejor opción para universidades europeas, sólida seguridad con cifrado AES-128, soporte para múltiples aplicaciones.
HID iCLASS Seos: la mejor opción para campus en Norteamérica que ya cuentan con infraestructura HID, soporte nativo para Apple Wallet y Google Wallet.
Doble credencial: cuando tiene una flota mixta de lectores heredados y modernos, y necesita una sola tarjeta que funcione en ambos.

Tarjetas de control de acceso de alta seguridad →Tarjetas de doble credencial →Guía de sistemas de tarjetas de campus →