Cómo es BIAS, la falla en Bluetooth que permite hackear celulares, laptops y electrodomésticos inteligentes

Fue hallada por un grupo de investigadores especializados en ciberseguridad. Esta falla le permitiría a un atacante suplantar la identidad de uno de los dispositivos y así robar datos confidenciales. ¿Cómo saber si un dispositivo es vulnerable?

Guardar
Investigadores hallaron fallas en el protocolo de comunicación bluetooth que expone a todos los dispositivos que utilicen esta tecnología y no se hayan actualizado recientemente.
Investigadores hallaron fallas en el protocolo de comunicación bluetooth que expone a todos los dispositivos que utilicen esta tecnología y no se hayan actualizado recientemente.

Un grupo de investigadores identificó una falla en el protocolo de comunicación Bluetooth denominada BIAS que expone la seguridad de celulares, computadoras portátiles y electrodomésticos inteligentes que no se hayan actualizado recientemente. Esta vulnerabilidad le permitiría a un atacante suplantar la identidad de uno de los dispositivos que se busque conectar por esta vía y así robar datos confidenciales del otro dispositivo.

Los investigadores de seguridad Daniele Antonioli (Escuela Politécnica Federal de Lausana), Kasper Rasmussen (Universidad de Oxford) y Nils Ole Tippenhauer (CISPA – Helmholtz Centro para Seguridad de la Información) identificaron esta falla en diciembre de 2019 y la informaron a los fabricantes para que corrigieran el problema. Estos ataques de suplantación de Bluetooth fueron denominados por los investigadores como BIAS (por sus siglas en inglés) y están descriptos en detalle en un documento técnico que se difundió recientemente.

Esta falla afecta a celulares, así como a otros dispositivos que utilicen tecnología Bluetooth (REUTERS/Valentyn Ogirenko)
Esta falla afecta a celulares, así como a otros dispositivos que utilicen tecnología Bluetooth (REUTERS/Valentyn Ogirenko)

De qué se trata la falla

Los ataques BIAS logran evitar los procedimientos de autenticación de Bluetooth que tienen lugar cuando se establece la conexión entre dos dispositivos. Se trata de fallas en el proceso de autenticación y cifrado.

Cuando dos dispositivos se emparejan por medio de Bluetooth, se genera una clave a largo plazo que conecta los dispositivos entre sí. Una vez que los dispositivos se vincularon, cada vez que se establece una conexión segura utiliza una clave de sesión diferente que se obtiene de la clave a largo plazo y otros factores.

Pero esta falla identificada le permite al atacante hacerse pasar por uno de los dispositivos que pasó por el proceso de autenticación y está vinculado, por medio de Bluetooth, con el otro equipo, sin conocer la clave a largo plazo. De este modo, los atacantes pueden robar datos confidenciales de ese dispositivo al que “engañaron” y hasta tomar control de él.

No es la primera vez que estos investigadores encuentran fallas en este protocolo de comunicación. En agosto de 2019 identificaron e informaron la falla Negociación clave de Bluetooth (KNOB). En esta ocasión, los especialistas advirtieron que ataque combinado de BIAS y KNOB podría generar grandes problemas que podrían derivar en el robo de información sensible y otras formas de manipulación del contenido de los dispositivos.

Los investigadores probaron la falla en varios chips y diferentes tipos de dispositivos (Foto: Pixabay)
Los investigadores probaron la falla en varios chips y diferentes tipos de dispositivos (Foto: Pixabay)

Qué dispositivos son vulnerables

Los investigadores probaron esta vulnerabilidad en una variedad de dispositivos, incluidos smartphones, laptops, y tablets que estaban equipadas con diferentes versiones del protocolo Bluetooth. “Realizamos ataques BIAS en más de 28 chips Bluetooth únicos (atacando 30 dispositivos diferentes). Hasta este momento, pudimos probar chips de Cypress, Qualcomm, Apple, Intel, Samsung y CSR. Todos los dispositivos que probamos fueron vulnerables al ataque BIAS", se menciona en el comunicado. También aclaran que, si bien las pruebas se hicieron en esos chips, técnicamente, la falla afecta a cualquier gadget que utilice Bluetooth.

Los autores del trabajo mencionan en su sitio oficial que en diciembre de 2019 dieron a conocer esta información y es posible que algunos proveedores hayan implementado soluciones alternativas para la vulnerabilidad en sus dispositivos (aunque no confirman que esto haya ocurrido).

¿Cómo saber si mi dispositivo es vulnerable? Los investigadores dicen que si el dispositivo no se actualizó después de diciembre de 2019 es probable que sea vulnerable a este tipo de ataque. “Los dispositivos actualizados posteriormente pueden ser reparados”, se aclara.

La solución definitiva a esta falla llegará eventualmente cuando se cambie el funcionamiento de la tecnología. Algo que llegará de la mano del próximo estándar Bluetooth que apunta a subsanar esta brecha de seguridad, tal como lo menciona en su blog Bluetooth SIG, una entidad que agrupa a más de 34 mil compañías en todo el mundo y que se focaliza en el desarrollo y optimización de este tipo de estándar de comunicación.

Mientras tanto y hasta que llegue ese nuevo estándar al mercado, los usuarios deben tener en cuenta que la única manera de asegurarse de recibir parches de seguridad es manteniendo el sistema operativo o firmware de sus dispositivos actualizados.

MÁS SOBRE ESTE TEMA:

Guardar