MIFARE DESFire explicado: EV1, EV2, EV3, AES y dónde lo usas

MIFARE DESFire es el chip de tarjeta inteligente segura y multiaplicación que acercas para tomar el metro o abrir la puerta de una oficina. A diferencia de una simple pegatina NDEF, ejecuta un pequeño sistema de archivos protegido por criptografía moderna, y por eso aparece justo donde los datos de la tarjeta realmente importan.

Qué es MIFARE DESFire

DESFire es una familia de chips sin contacto de NXP pensada para la seguridad y la flexibilidad. Cada tarjeta lleva 2, 4 u 8 KB de memoria organizada como un sistema de archivos, no como un bloque plano de bytes. Puedes guardar varias aplicaciones independientes en un mismo chip —un abono de transporte, una credencial de edificio y un saldo de cafetería pueden convivir sin ver los datos del otro—, según la línea de productos DESFire de NXP.

Esa estructura es la diferencia frente a las familias MIFARE más simples. Donde MIFARE Ultralight es una etiqueta de memoria sencilla y Classic usa el antiguo cifrado Crypto1 de NXP, DESFire se diseñó en torno a criptografía abierta y estándar.

Cómo funciona en realidad

DESFire habla ISO/IEC 14443-4, el protocolo de capa superior para tarjetas inteligentes, y acepta comandos APDU ISO/IEC 7816-4, el mismo estilo de comandos que usan las tarjetas bancarias con chip. Encima va el sistema de archivos: un chip EV1 admite hasta 28 aplicaciones, cada una con hasta 32 archivos, y te autenticas por aplicación antes de poder leer o escribir datos protegidos.

La seguridad es lo más importante aquí. El nombre "DESFire" viene de sus motores criptográficos por hardware —DES, 2K3DES, 3K3DES y AES— y los despliegues modernos usan AES. Esto importa porque el Crypto1 de MIFARE Classic fue vulnerado por investigadores allá por 2008; DESFire pasó a algoritmos estándar y revisados, y por eso NXP orienta los nuevos diseños seguros hacia él.

EV1 frente a EV2 frente a EV3

Las tres generaciones son en su mayoría compatibles hacia atrás. EV1 fijó la plantilla: soporte de AES, el sistema de 28 aplicaciones y plena conformidad con ISO 14443-4. EV2 añadió mejor rendimiento, funciones de privacidad más fuertes y un manejo multiaplicación más flexible. EV3 es la versión actual, descrita por NXP como ampliamente compatible hacia atrás y certificada según Common Criteria EAL5+. Para la mayoría, lo práctico es que las tres se ven iguales al acercarlas: las diferencias viven en las certificaciones y funciones que eligió el emisor.

Dónde lo vas a usar

Vas a encontrar DESFire allí donde lo que está en juego supera a una pegatina de marketing. Las tarjetas de transporte público son el ejemplo clásico, junto con credenciales de acceso a edificios y campus, tarjetas de pago sin efectivo para cafeterías y máquinas, carnés de estudiante y empleado, y la entrada a estadios y eventos. Si una tarjeta controla dinero o acceso, es muy probable que lleve un chip DESFire debajo.

Leer DESFire con tu teléfono

Tanto iPhone como Android pueden comunicarse con DESFire, porque es una tarjeta ISO 14443-4. En Android la vía de bajo nivel es la clase IsoDep; en iPhone es una sesión de lector que envía APDU ISO 7816, según Core NFC de Apple. Lo que puedes leer depende de las claves. El UID y la identificación básica de la tarjeta responden a cualquier lector, pero los archivos protegidos de cada aplicación quedan bloqueados salvo que tengas la clave de esa aplicación, que es todo el sentido del diseño.

En NFCore puedes escanear una tarjeta DESFire para ver su UID y sus metadatos ISO, identificar el tipo de chip y confirmar que es una tarjeta 14443-4 y no una simple etiqueta NDEF. NFCore no extrae claves ni copia una tarjeta de transporte o acceso: no es posible sin las claves ni es algo con lo que ayudemos. Es una ventana a lo que es la tarjeta, no una llave maestra. NFCore es gratis en la App Store y en Google Play.

Preguntas frecuentes

¿MIFARE DESFire es lo mismo que MIFARE Classic?

No. Classic es un chip más antiguo que usa el cifrado Crypto1 de NXP, vulnerado en 2008. DESFire es un chip más nuevo basado en sistema de archivos que usa criptografía estándar DES/3DES/AES, y es lo que NXP recomienda para nuevos diseños seguros.

¿Mi teléfono puede leer una tarjeta MIFARE DESFire?

Sí, a nivel de protocolo. DESFire es una tarjeta ISO 14443-4, así que iPhone y Android pueden intercambiar APDU con ella. Leer los archivos protegidos sigue requiriendo las claves de aplicación del emisor.

¿Qué significa el "EV" en EV1, EV2, EV3?

EV significa versión de "evaluación": generaciones sucesivas del chip. Son ampliamente compatibles hacia atrás; las versiones posteriores añaden rendimiento, privacidad y certificaciones de seguridad más fuertes, como Common Criteria EAL5+ en EV3.

¿Cuánto puede almacenar una tarjeta DESFire?

Los chips DESFire vienen en 2, 4 y 8 KB. Ese espacio se organiza en aplicaciones y archivos en lugar de un solo bloque, así que una tarjeta puede alojar varios usos independientes a la vez.