Las ultimas noticias en tecnología, ciencia y cultura digital.
Las ultimas noticias en tecnología, ciencia y cultura digital.

Bluetooth ha anunciado un fallo de seguridad en iOS y Android, y este no tiene solución

Ilustración para el artículo titulado
Foto: Omar Torres (Getty Images)

La tecnología Bluetooth ha acumulado una buena cantidad de fanáticos acérrimos a lo largo de los años. Y ello a pesar de algunos errores bastante catastróficos que abrían la puerta a terceros con malas intenciones. Ahora, la organización detrás de esta la tecnología ha reconocido la existencia de una nuevo fallo de seguridad, y no hay ningún parche a la vista.

Advertisement

BLURtooth, que es como se ha denominado al problema, ha sido descubierto por investigadores de The Bluetooth Special Interest Group y confirmado por otro grupo de la Universidad Carnegie Mellon. Según los investigadores, los protocolos que siguen tanto Android como iOS cuando se conectan a otro dispositivo con tecnología Bluetooth como unos auriculares, se pueden secuestrar para dar acceso a un atacante a cualquier aplicación o servicio con tecnología Bluetooth en el teléfono.

El problema se refiere a un protocolo llamado Derivación de claves de transporte cruzado (Cross-Transport Key Derivation o CTKD pro sus siglas en inglés). Cuando algo como un iPhone se prepara para emparejarse con un dispositivo Bluetooth, la función de CTKD es configurar dos claves de autenticación separadas para ese teléfono: una para un dispositivo “Bluetooth de baja energía” y otra para un dispositivo que usa lo que se conoce como el estándar “Tasa básica / Tasa de datos mejorada”. Diferentes dispositivos requieren diferentes cantidades de datos (y energía de la batería) de un teléfono. Poder alternar entre los estándares necesarios para los dispositivos Bluetooth que transmiten una tonelada de datos (como un Chromecast) y los que requieren un poco menos (como un reloj inteligente) es mucho más eficiente. Desgraciadamente, también podría ser menos seguro.

Advertisement

Según los investigadores, si un teléfono es compatible con ambos estándares pero no solicita algún tipo de autenticación o permiso por parte del usuario, un hacker que se encuentre dentro del alcance de la señal Bluetooth puede usar la conexión CTKD para obtener su propia clave. Con esa conexión, según el informe, la autenticación también puede permitir debilitar el cifrado que usan estas claves en primer lugar. Ello abre la puerta a más ataques en el futuro y funciona como intermediario en más ataques del tipo de los que espían datos no cifrados cuando los envían las aplicaciones y servicios del teléfono.

Advertisement

Hasta ahora, no tenemos ningún ejemplo de exploits reales basados ​​en BLUR. Pese a ello, y como precaución, el equipo de interés especial de Bluetooth comenzó a notificar a los proveedores de dispositivos sobre la posibilidad de este tipo de ataques. Los investigadores recomiendan proteger las conexiones usando las restricciones CTKD que vienen integradas con Bluetooth 5.1. Lamentablemente, las versiones Bluetooth 4.0 y 5.0 están atrapadas en esta enorme laguna de seguridad por ahora. El comunicado hecho público por Bluetooth dice que la única forma de protegerse es vigilar el entorno en el que se emparejan los dispositivos, ya que cualquier atacante debería estar cerca para poder llevar a cabo este tipo de manipulación.

Hay otros pequeños pasos que puedes tomar si estás nervioso por la posibilidad de que espíen tus datos por Bluetooth, pero en este momento, un parche no es uno de ellos. Y sin una fecha concreta de ese parche hecha pública por ninguno de los implicados, realmente nos quedamos a merced de los fabricantes y su buena voluntad a la hora de hacer lo lo correcto lo más rápidamente posible.

Share This Story

Get our newsletter