La conectividad Bluetooth lleva años en el mercado de los móviles, pero no fue hasta que comenzó a eliminarse el conector de auriculares que se volvió tan importante. Ahora, millones de usuarios utilizan esta tecnología a diario y su desarrollo ha ido acelerando para introducir mejoras considerables en seguridad y funcionalidades. ¿Algunos ejemplos? Auracast o la tecnología Bluetooth LE de bajo consumo.
Sin embargo, no es una tecnología perfecta y a veces quedan agujeros en el desarrollo que pueden ser un riesgo. Prueba de esto es una nueva vulnerabilidad que acaba de descubrirse. Si tienes un dispositivo que use Bluetooth 4.2 o superior, ten mucho cuidado porque estás en peligro.
BLUFFS es un exploit que puede afectar a casi todos los dispositivos Bluetooth del planeta
En general, el Bluetooth siempre ha sido considerado seguro, pues la conexión entre dos dispositivos está cifrada. Sin embargo, ningún sistema informático es perfecto y los piratas siempre están buscando vulnerabilidades para explotar.
Esto es justamente lo que reportó el equipo francés EURECOM, al revelar el descubrimiento de un importante fallo de seguridad con esta tecnología. El exploit permite realizar de forma relativamente simple un ataque de fuerza bruta contra las claves de cifrado Bluetooth entre dos dispositivos. Una vez logra dar con alguna, se puede falsificar uno de los dispositivos y acceder a montones de datos que podrían ser confidenciales.
Daniele Antonioli, líder del equipo EURECOM que informó sobre esto, señaló que el exploit podría funcionar en cualquier dispositivo Bluetooth 4.2 o posterior, al menos parcialmente. ¿Qué tan grave es esto? Para que lo dimensiones, la versión 4.2 comenzó a implementarse en 2014, así que ya lleva casi una década entre nosotros. En teoría, al menos una parte de ese exploit podría funcionar en cualquier dispositivo Bluetooth moderno.
Antonioli y su equipo clasificaron los posibles tipos de ataques en seis y los denominaron ‘BLUFFS’. Además, publicaron una tabla con varios de los dispositivos que lograron vulnerar usando este exploit. Los nombres que aparecen en la tabla son poco alentadores, pues son gadgets bastante conocidos y de diferentes nichos de mercado.
EURECOM publicó este hallazgo con la finalidad de alertar a los usuarios y al Bluetooth Special Interest Group (SIG), principal responsable del desarrollo de esta tecnología. El equipo ha sido realmente transparente y abierto a explicar todo lo que descubrieron, al punto de crear una página en GitHub con muchísima información para los interesados.
La Bluetooth SIG ya emitió un comunicado con el que confirman la existencia de este exploit. Asimismo, instan a los fabricantes a seguir estrictos protocolos de seguridad para evitar el ataque, pero no mencionan nada sobre un posible parche. Actualmente, la versión más reciente es el Bluetooth 5.4 que se lanzó en febrero. ¿Habrá que esperar a la versión 5.5? ¿Qué pasará con los demás dispositivos?