Bluetooth, ¿podemos confiar en él?

Bluetooth ha dejado de ser un tecnicismo para convertirse en un referente imprescindible en nuestra vida diaria. Está presente en nuestros móviles, PDAs, portátiles, manos libres, etc... Sin embargo, la pregunta clave es ¿podemos confiar en él? Bluetooth es una tecnología desarrollada por una organización comercial fundada en 1998 y formada por empresas líderes en el sector de la movilidad y las TI, denominada Bluetooth Special Interest Group (SIG), cuyo objetivo fue diseñar una serie de protocolos y especificaciones destinadas a reemplazar tecnologías ya obsoletas.El protocolo bluetooth soporta varias características de seguridad a nivel de comunicación, como es la autenticación y el cifrado, propiedades que se implementan con distintos modelos de seguridad, en función de las necesidades que requieran las aplicaciones que lo soportan.Las vulnerabilidades, que se han descubierto por estudiantes, grupos independientes y consultores de seguridad en este tipo de protocolos, requieren del conocimiento de las especificaciones técnicas del objetivo, como son el modelo y la marca del dispositivo. Debido a esta necesidad, una medida recomendada para reducir el riesgo consiste en modificar el nombre del equipo y sustituirlo por uno que no provea de esta información.En el caso de teléfonos móviles, existen múltiples vulnerabilidades que permitirán acceso a información confidencial, como por ejemplo el IMEI (International Mobile Equipment Identity), la agenda telefónica, las imágenes almacenadas o incluso acceso total para realizar llamadas o enviar mensajes cortos desde el teléfono móvil comprometido. Por otra parte, se hallan otras vulnerabilidades en las aplicaciones encargadas de gestionar el protocolo en sistemas operativos, permitiendo la ejecución remota de comandos o denegaciones de servicio.Para reducir este tipo de ataques, se recomienda, desactivar la funcionalidad de bluetooth cuando éste no esté en uso, así como mantener el software actualizado aplicando los parches que facilite el fabricante. Adicionalmente, muchos sistemas permiten ser configurados para que no sean detectados de forma automática por otros dispositivos. En ese caso, sólo podrán conectarse a él los que anteriormente lo hayan hecho y para los que ya existe un vínculo de confianza.Estas vulnerabilidades son potencialmente más peligrosas si se utilizan contraseñas fáciles de predecir o configuradas por defecto por el fabricante e imposibles de cambiar debido a las características del producto, como, por ejemplo, un sistema de manos libres o un GPS. Las contraseñas no deberían ser cortas, una secuencia o la repetición de un mismo número. Esta vulnerabilidad es explotada, sobre todo, en aquellos ataques que efectúan la autenticación con aparatos de manos libres o similares, con el fin de realizar escuchas. Actualmente, uno de los mayores problemas son los gusanos que infectan teléfonos móviles, utilizando como canal el protocolo bluetooth, ya que tienen como objetivo la instalación de malware en el sistema. Por esta razón, es recomendable no hacer uso de conexiones desconocidas, ya que pueden provenir de un sistema infectado.El protocolo bluetooth tiene una vida muy corta. Sin embargo, a día de hoy todas las vulnerabilidades que se han detectado radican en la mala implementación del estándar por parte de los fabricantes, y no en el diseño del protocolo en sí. A.Ramos es responsable de consultoría de seguridad técnica del Grupo SIA