Se puede convencer al chip RFID de un pasaporte biométrico de que comunique todos los datos almacenados en él si se le proporcionan las claves adecuadas. Hay que tener en cuenta que no se trata de descargar los datos encriptados del chip y luego tratar de descifrarlos con algún tipo de herramienta; la comunicación con el chip es bidireccional y primero hay que proporcionar la autenticación.
Los datos principales, como el nombre y la fotografía, están protegidos por el Control de Acceso Básico, en el que la clave puede derivarse de los datos legibles por la máquina y visibles en el propio pasaporte. En esencia, después de ver el pasaporte, es posible descargar los mismos datos que acabas de ver, más la firma digital de la autoridad emisora que confirma su autenticidad.
También existe el Control de Acceso Ampliado, en el que la idea es que los datos más sensibles, como las huellas dactilares, estén protegidos por claves que la autoridad emisora sólo proporciona a partes como los departamentos de inmigración de otros países.
Así, cualquier persona al azar que conozca el número del documento, la fecha de nacimiento del titular y la fecha de caducidad del pasaporte (eso es lo que comprende la clave BAC) puede utilizarlo para leer los datos básicos y descargar la foto (hay múltiples aplicaciones para Android que hacen precisamente esto), mientras que no es posible llevar un potente escáner a un aeropuerto y cargar muchos pasaportes de transeúntes. La descarga de las huellas dactilares y otros datos de este tipo requiere claves especiales que, en teoría, se distribuyen por algunos canales seguros entre las autoridades competentes. He oído, sin pruebas, que este proceso conlleva muchos obstáculos y que mi país (Ucrania) simplemente no ha compartido esas claves con otros países.