La empresa gallega Tarlogic, especialista en ciberseguridad, descubre una vulnerabilidad en esta tecnología de comunicación de alcance global, fundamental para vincular dispositivos
20 mar 2023 . Actualizado a las 17:10 h.El Bluetooth es más viejo que los smartphones. Usamos desde hace más de veinte años esta tecnología de conectividad inalámbrica de corto alcance (que toma su nombre y su imagen iconográfica del rey medieval escandinavo Harald Dienteazul), para emparejar todo tipo de dispositivos electrónicos, como los manos libres de los coches o los auriculares inalámbricos.
El Bluetooth fue desarrollado por una asociación privada sin ánimo de lucro conformada en su momento por grandes de la tecnología de los 90 (Microsoft, Ericcson, Nokia, Intel, IBM o Motorola, entre otros) y ahora participada por decenas de miles de empresas. Buscaron desarrollar un estándar de comunicación inalámbrica de voz y datos. Y lo consiguieron. Móviles, ordenadores portátiles, tabletas... Muy pocos dispositivos susceptibles de ser conectados carecen de esta tecnología.
El Bluetooth ha ido evolucionando con el paso de los años. Las diferentes versiones han permitido aumentar la cantidad de conexiones simultaneas y la calidad de la comunicación. También han permitido -junto a la mejoría de las baterías de los móviles- volver obsoleto un viejo consejo muy popular en la era de la movilidad: si lo apagas no mejoras de forma sustancial la eficiencia energética de tu smartphone. Es un mito, según el portal especializado Android Authority, que hizo pruebas exhaustivas, de otros tiempos.
Hoy tiene todo el sentido del mundo mantener el Bluetooth encendido (otra cosa es tenerlo en modo visible permanentemente). Sobre todo si portamos wearables como pulseras o relojes inteligentes, pero también si se usa de manera frecuente auriculares, altavoces o equipos de infoentretenimiento en automóviles. Lo normal es que aumenten los usos a medida que se generalice el uso del Internet de las Cosas y tengamos en nuestros hogares todo tipo de objetos inteligentes y conectados, como pueden ser las cerraduras smart.
Vivimos en una sociedad hiperconectada. Rodeados casi en todo momento de flujos de datos. Eso ofrece muchas ventajas, pero también supone amenazas para la seguridad. Y debemos tomar medidas: protegemos nuestras redes domésticas y empresariales; estamos alerta ante los posibles intentos de estafa por correo electrónico o mensajería instantánea; incluso debemos recelar de los códigos QR; ¿y qué pasa con el Bluetooth? ¿Es completamente seguro?
En los últimos años diversos organismos, como el INCIBE (Instituto de Ciberseguridad de España) alertaron sobre posibles problemas que fueron solucionadas con parches de seguridad, actualizaciones de software y el despliegue de nuevas versiones de Bluetooth. Pero ahora llega una nueva señal de alarma. Y la da una compañía a la que conviene tomar muy en serio..
La empresa gallega Tarlogic, con sede en Teo, es un referente en el mundo de la ciberseguridad. En su día descubrió vulnerabilidades en los contadores inteligentes de la luz que podían llegar a propiciar apagones. Durante el último año le siguió la pista a Fancy Bear, un grupo criminal ruso especializado en robar información de alto nivel para desestabilizar a los países occidentales como España. Y recientemente, en el marco del congreso de ciberseguridad ROOTEDCON 2023, ha identificado un agujero de seguridad en el estándar Bluetooth.
Tarlogic le ha puesto nombre, BlueTrust, a la vulnerabilidad. E investiga hasta qué punto puede ser dañina. Considera que puede ser explotada para «descubrir conexiones entre dispositivos, trazar las redes que forman, vulnerar la privacidad y, eventualmente, poner en marcha ataques».
¿Cómo funciona BlueTrust? El equipo de innovación de la empresa gallega pudo «suplantar un dispositivo y correlacionarlo con el resto de los dispositivos con los que tiene una relación de confianza» si tenían el Bluetooth activo.
En su intervención en la ROOTEDCON 2023, dos representantes de la compañía, Antonio Vázquez Blanco y Jesús Gómez Moreno, pusieron el acento en lo que puede pasar si alguien ejecuta esta maniobra de suplantación: «acumular una gran cantidad de información» (nombre, direcciones, número de teléfono o matrícula) sobre sus víctimas y utilizarla para cometer «fraudes y extorsiones». Y fueron aún más allá. Si el Bluetooth es vulnerable, ¿quién asegura que no puedan interceptar y alterar llamadas si se usan unos auriculares inalámbricos? ¿O registrar lo que se teclea? ¿Y capturar mensajes que circulan entre un smartwatch y un móvil?
Las consecuencias pueden ser graves. Van desde la denegación del servicio con el dispositivo propio a la captura de claves o la extracción de datos. Todos estos escenarios son posibles si la seguridad está comprometida. Y más aún si se produce en un estándar casi universal, que emplean cientos de millones de usuarios de todo el planeta. Lanzada, con fundamento, la alerta, le toca a los fabricantes y los desarrolladores mover ficha y tomar medidas para mejorar la tecnología.
