BIAS, una nueva vulnerabilidad en Bluetooth que afecta a todos los dispositivos no actualizados recientemente

Cristian Rus

Una brecha de seguridad en la tecnología Bluetooth permite a un atacantesuplantar la identidad de otro dispositivo con el que el usuario busca inicialmente conectarse. Se trata de una vulnerabilidad que afecta a prácticamente todos los dispositivos con tecnología Bluetooth que no hayan sido actualizados recientemente. Si bien por si sola esta vulnerabilidad no es tan grave, combinada con otros ataques puede permitir a terceros un control mucho mayor del dispositivo de la víctima.

La vulnerabilidadfue descubierta por un equipo de investigadores de la École Polytechnique Fédérale de Lausanne (EPFL) en Suiza. La han denominado BIAS (Bluetooth Impersonation Attacks) y explican quetodos los dispositivos no actualizados se ven afectadosen todas lasclases de Bluetooth. En diciembre de 2019 la asociación Bluetooth SIG fue informada de este agujero de seguridad y desde entonces distintos fabricantes de dispositivos ysoftwarehan ido lanzando actualizaciones para solucionarlo.

Cómo funciona BIAS

El ataquese basa en suplantar la identidadde la persona con la que la víctima quiere establecer una conexión Bluetooth. Este ataquespoofinges posible si el atacante ha establecido previamente una conexión con el dispositivo de la víctima o conoce la dirección de un dispositivo ya emparejado.

¿Por qué? Porque el fallo se encuentra encómo la tecnología Bluetooth gestiona las claves de los dispositivos ya emparejados. Estas claves que se utilizan para crear una conexión segura entre los dos dispositivos siempre que haga falta sin tener que emparejarlos manualmente siempre que se desee utilizarlos.

Con esta información disponibleel atacante puede hacerse pasar por el dispositivo al que realmente la víctima quiere conectarse. Esto se puede combinar por ejemplo con un ataque Key Negotiation of Bluetooth indican los investigadores. Un ataque que permite reducir la seguridad del canal de comunicación entre dos dispositivos Bluetooth para que así un tercero tenga mejor acceso y control de la información que se transfiere.

Qué solución hay para la vulnerabilidad BIAS

Tal y comoha anunciado Bluetooth SIG, un cambio en el funcionamiento de la tecnología llegará conel lanzamiento del próximo estándar Bluetoothpara evitar que esta brecha de seguridad sea aprovechada. Sin embargo este nuevo estándar aún no ha llegado.

Mientras tanto,Bluetooth SIG recomienda actualizar todos los dispositivos a las última versiones posibles. Comentan que los fabricantes fueron informados desde el año pasado y que en principio las actualizaciones y parches de seguridad lanzados desde diciembre de 2019 traen una solución para la vulnerabilidad BIAS. En definitiva, actualizar siempre que sea posible los dispositivos a las últimas versiones de sufirmwareysoftware.

Este fallo de seguridad en el protocolo Bluetoothno es el primeroque se da. Son especialmente relevantes por el hecho de queBluetooth es una tecnología inmensamente utilizada a nivel global y en todo tipo de dispositivos, desde un teléfono móvil hasta el termostato inteligente de turno pasando por auriculares inalámbricos. Y la información que se transmite por ellos no es siempre irrelevante, porque por ejemplo si se consigue acceso a un teclado Bluetoothcomo ocurrió con los de Logitechse puede obtener información del ordenador o infectarlo conmalware.

Más información |BIASyBluetooth SIG