Desde una pulsera a un mando de consola: una firma española revela cómo la mayoría de dispositivos bluetooth pone tus datos en riesgo

Tarlogic, una firma gallega de ciberseguridad, ha presentado este jueves una metodología para comprobar vulnerabilidades en dispositivos bluetooth y los hallazgos realizados son inquietantes.

Esta metodología recibe el nombre de BSAM (Bluetooth Security Assesment Methodology) y es la mayor contribución hasta la fecha que esta compañía española especializada en seguridad digital ha presentado hasta la fecha. No es baladí: Tarlogic ya reveló hace años una vulnerabilidad en contadores inteligentes de la luz que ponían el suministro eléctrico de barrios enteros en riesgo.

BSAM es, según expone la propia compañía, la "primera metodología de evaluación de seguridad del protocolo Bluetooth a nivel internacional". "Esta herramienta abierta y colaborativa permite estandarizar las pruebas de seguridad que se deben realizar para analizar los dispositivos que usan esta tecnología", detalla la empresa en un comunicado remitido a los medios.

Esta metodología está pensada para ser empleada "por fabricantes, investigadores, desarrolladores y profesionales de ciberseguridad" y su principal objetivo es "estandarizar las auditorías que se realizan a los dispositivos IoT para verificar que son seguros desde el punto de vista de las comunicaciones bluetooth", continúa.

El auge del internet de las cosas (IoT) ha hecho que fábricas, oficinas e incluso hogares se hayan llenado de todo tipo de artículos que se conectan a la red: desde dispositivos industriales a sensores, termostatos o incluso pequeños electrodomésticos como cafeteras.

Muchos de esos dispositivos conectados emplean bluetooth: por ejemplo, la pulsera que quizá lleves en tu muñeca ahora mismo midiéndote las pulsaciones está utilizando ese protocolo para conectarse a tu teléfono móvil.

La Unión Europea aprobó recientemente el nuevo Reglamento de Ciberresiliencia que precisamente busca exigir a los fabricantes de este tipo de productos que la ciberseguridad y la privacidad sean elementos nucleares desde el momento en el que estos artículos son diseñados. La metodología BSAM de la gallega Tarlogic Security ayudará a comprobar si cumplen.

Uno de los ordenadores más infectados del mundo está en Málaga: tiene más de 6 millones de malware latentes y unos 30 activos

Pero son los hallazgos encontrados en el desarrollo de esta metodología los que arrojan datos escalofriantes para usuarios —tanto negocio como usuarios domésticos—. La mayoría de dispositivos que utilizan bluetooth no son solo muy vulnerables a ciberdelincuentes que conozcan y sepan explotar sus vulnerabilidades: también lo son el resto de tus dispositivos.

Tarlogic, por ejemplo, detalla que durante el desarrollo de BSAM descubrieron que el 50% de los dispositivos, como ratones o teclados inalámbricos o mandos de videoconsolas son "emparejables por defecto", lo que implica que "actores maliciosos podrían capturar datos específicos de los dispositivos para suplantarlos".

Mediante esa suplantación, criminales informáticos podrían acceder al dispositivo con el que tu mando se conecte —tu ordenador, por ejemplo— para tratar de asaltarlo o hackearlo, robando y extrayendo información personal del mismo.

Además, el 80% de los dispositivos IoT que Tarlogic ha analizado para desarrollar BSAM son "descubribles y trazables", es decir, muchos ciberdelincuentes solo necesitan hacer uso de buscadores de dispositivos IoT públicos como Shodan para encontrar dispositivos desprotegidos en la red... o incluso para seguirte:

"Esto supone un gran riesgo para la privacidad de las personas, al permitir monitorizar sus movimientos y acciones", advierte la compañía.

Otro dato que ha aportado Tarlogic Security al presentar BSAM: el 90% de los aparatos que han analizado "permiten acceder a información confidencial para lanzar ataques más avanzados", y el 20% de aparatos como televisiones o manos libres emplean códigos PIN por defecto muy fácilmente descubribles, como 0000 o 1111.

Con esto, los ciberdelincuentes pueden suplantar teclados o ratones inalámbricos para atacar desde ordenadores personales a corporativos, tomar el control de los mismos y extraer información crítica, o extraer datos médicos a partir de dispositivos destinados a atender apneas del sueño. Con un mando de videoconsola, alguien podría llegar a escuchar o leer tus conversaciones privadas.

Y, por su puesto, el acceso a dispositivos IoT sirven para que muchos acaben controlados en un enjambre de dispositivos zombies, las famosas botnet, para lanzar ataques más sofisticados contra instituciones y empresas.

En marzo de este año, Tarlogic presentó BlueTrust, una investigación precisamente en entornos bluetooth —ámbito a segurizar en el que la firma gallega se ha convertido en un líder internacional— que revelaba ya un conjunto de vulnerabilidades como las descritas previamente. Esos hallazgos se compartieron en la RootedCON, uno de los mayores congresos de ciberseguridad de España.