Ataque cibernético: Miles de millones de dispositivos Bluetooth están amenazados

Una falla descubierta en el protocolo Bluetooth de baja potencia afectaría potencialmente a miles de millones de dispositivos. El nuevo ataque BLESA, descubierto por investigadores de la Universidad de Purdue, permite comprometer el procedimiento de reconexión entre dos dispositivos y usurpar la identidad de uno de ellos.

Miles de millones de dispositivos son vulnerables a los ataques inalámbricos, según un nuevo artículo. Investigadores de la Universidad de Purdue en los Estados Unidos han descubierto una falla en el protocolo Bluetooth de baja potencia (BLE) que equipa a casi todos los teléfonos inteligentes, tabletas y objetos conectados. Llamado BLESA, o el Ataque de Robo de Identidad en BLE, permite que un dispositivo se haga pasar por otro.

En el pasado se han descubierto muchos defectos en el proceso de emparejamiento, pero aquí los investigadores se han centrado en el procedimiento de reconexión, que ha sido mucho menos estudiado. Descubrieron una falla de seguridad que permite que un objeto desconectado se reconecte sin autenticarse.

Un defecto imposible de corregir en algunos objetos conectados

Los dispositivos BLE envían regularmente paquetes para anunciar su presencia. Los investigadores registraron los paquetes transmitidos por un anillo conectado a un teléfono inteligente, obteniendo al mismo tiempo la dirección MAC que duplicaron en la computadora utilizada para el ataque. Una vez que el anillo fue desconectado, transmitieron los mismos paquetes usando la misma dirección MAC y fueron capaces de hacer pasar la computadora como el anillo, y luego enviar datos falsos al smartphone.

Los investigadores señalaron las especificaciones del BLE para el proceso de reconexión. La descripción no sería lo suficientemente precisa y, por lo tanto, no se habría aplicado correctamente. La falla fue descubierta en Linux, iOS y Android, pero no en Windows. Apple ya ha publicado una actualización, pero el problema seguiría presente en Android 10. Es posible que otros dispositivos, incluidos los objetos conectados que no tienen un procedimiento de actualización, nunca reciban un parche. Sin embargo, la seriedad del problema aún no se ha puesto en perspectiva, dado el alcance del Bluetooth.