El Bluetooth es una de las tecnologías más populares hoy en día, lo utilizamos en celulares, computadoras, audífonos y hasta dispositivos para el hogar como focos inteligentes. Por esta razón el fallo descubierto y anunciado recientemente es preocupante, pues afecta a básicamente todos los dispositivos Bluetooth del mercado.
Un problema sencillo y muy serio
Expertos en seguridad de distintas nacionalidades descubrieron esta vulnerabilidad a finales de 2019, por lo que alertaron a la Bluetooth SIG, que es la organización detrás de esta tecnología, la cual se tenía que encargar de resolver este problema antes de que fueran publicados los resultados. ¿Lo lograron?, sí, pero eso no significa que no estás en riesgo.
La vulnerabilidad fue llamada “BIAS” (Bluetooth Impersionation Attacks), la cual tiene la capacidad de engañar a nuestros dispositivos para hacerles creer que se están conectando a un dispositivo de confianza, aunque en realidad se trata de un dispositivo que puede tener malware y podría robar nuestros datos o dañar nuestro dispositivo.
Cuando conectas dos dispositivos a través de la conectividad Bluetooth sabes que la primera vez suelen tardar más tiempo en emparejarse debido a que se lleva a cabo un proceso de seguridad en el que generan una clave de enlace que solo compartirán ambos dispositivos y que solo podrá romperse cuando desvinculas ambos equipos, que no es lo mismo que desconectarlos.
Cuando están vinculados, siempre que intentas conectar ambos dispositivos el proceso es mucho más rápido que la primera ocasión debido a que la clave de seguridad que se genera es un derivado de la clave madre (la que se creó con el proceso de vinculación).
Bueno, pues es justo aquí donde está la vulnerabilidad, pues los investigadores mencionan que es posible robar la identidad de uno de los 2 dispositivos ya vinculados para hacer creer al otro dispositivo que se trata de un dispositivo de confianza con el que ya se hizo el proceso de vinculación, sin embargo, te estás conectando a un dispositivo distinto que no conoces.
Esto es potencialmente peligroso porque una vez conectados ambos dispositivos puede comenzar el proceso de transferencia de archivos con malware que tengan como objetivo robar información de tu dispositivo, todo esto sin que te des cuenta de ello.
¿Todo el mundo es vulnerable?
Los investigadores mencionan que es imposible probar todos los dispositivos del mundo para asegurarlo, pero sí han podido probar que todas las versiones de Bluetooth tienen esta vulnerabilidad, y lo han probado con distintos equipos en distintas versiones.
La Bluetooth SIG ya solucionó esta vulnerabilidad, el problema es que para que esta falla no afecte a los usuarios es necesario que los fabricantes lancen la actualización para sus dispositivos, de lo contrario de nada sirve que la vulnerabilidad ya haya sido solucionada.
Esto significa que probablemente habrá equipos que pasen muchos meses con esta vulnerabilidad, otros tantos la tendrán por siempre porque ya ha terminado su periodo de actualizaciones, y en el caso de los teléfonos Android, probablemente los gama alta y pocos gama media alta sean los primeros en estar libres de esta vulnerabilidad.