Los hackers podrían robar datos que se envían vía Bluetooth

El fallo afecta a todos los dispositivos compatibles con este sistema de envío de datos inalámbrico y los fabricantes ya estarían trabajando en parches para solucionarlo.

Conectamos nuestro teléfono al sistema manos libres del coche, escuchamos música sin cables y enviamos documentos a la impresora de forma inalámbrica mediante la tecnología Bluetooth, que ahora parece no ser tan segura, según se ha desvelado en una investigación realizada por las universidades de Singapur y Oxford, conjuntamente con el centro de seguridad de información CISPA Helmholtz de Alemania.

Según se desprende de las investigaciones realizadas por estos organismos, la tecnología Bluetooth tendría una vulnerabilidad en el protocolo de negociación que permite a los usuarios entrar en contacto con un archivo, e incluso alterar los contenidos que se envían por este medio inalámbrico, rompiendo el sistema de seguridad, que parece no ser nada seguro.

Las conclusiones del trabajo de investigación realizado por Daniele Antonioli (Singapore University of Technology and Design), Nils Ole Tippenhauer (CISPA Helmholtz Center for Information Security) y Kasper Rasmussen (University of Oxford) se reflejan en KNOB Attack (Key Negotiation of Bluetooth Attack) y son concluyentes en la vulnerabilidad de este sistema.

Los investigadores resumen su trabajo diciendo que la especificación Bluetooth incluye un protocolo de negociación de claves de cifrado con 1 byte de entropía sin proteger la integridad del proceso de negociación, ya que un atacante remoto podría manipular la información a base de ‘fuerza bruta’ en tiempo real, mediante pruebas sucesivas en las ocho combinaciones hasta dar con la clave y acceder a los archivos, con la posibilidad de modificarlos.

De esta forma, un atacante podría romper los mecanismos de seguridad para cualquier dispositivo compatible estándar, cambiando el contenido de la comunicación Bluetooth cercana, incluso entre dispositivos que se han emparejado correctamente con anterioridad. Este fallo de seguridad fue comunicado en noviembre de 2018al Bluetooth SIG, la organización de estándares que supervisa el desarrollo de este tipo de sistemas y a otros organismos de ciberseguridad en Internet como ICASI, en el que están Intel, Microsoft, Cisco, Juniper e IBM.

Al estar en riesgo una gran cantidad de dispositivos compatibles, la vulnerabilidad del sistema Bluetooth es alta, según pudieron comprobar los investigadores en un total de 24 aparatos diferentes con procesadores de fabricantes muy distintos (Apple, Intel y Qualcomm). Casi un año después de que se presentara este informe, el fallo de vulnerabilidad debería estar corregido, al menos en los nuevos dispositivos, pero los fabricantes no han confirmado este aspecto.