La firma Tarlogic ha desarrollado un sistema para extraer información crítica de un teléfono móvil a través del Bluetooth
25 sep 2024 . Actualizado a las 17:30 h.Era 1994 cuando Jaap Haartsen y Mattisson Sven inventaron la tecnología Bluetooth para remplazar a los cables. El nombre no tiene nada que ver con lo tecnológico, sino que proviene del rey danés Harald Blatand, un monarca que unió a diferentes regiones danesas para convertirlas al cristianismo. Blatand se traduce como Bluetooth al inglés y su nombre se puso como homenaje. El invento cambió la forma de transmisión entre dispositivos y se convirtió en un estándar universal: todos los teléfonos móviles lo tienen incorporado. Ahora, una compañía gallega ha detectado fallos de seguridad en esta tecnología, que podría servir a los ciberdelincuentes para robar datos personales. Por el camino, han inventado un sistema que puede revolucionar las investigaciones policiales.
Tarlogic Security se fundó en un pequeño trastero de Teo en el 2011. En esa habitación de poco más de diez metros cuadrados se dio forma a una compañía que tiene entre sus filas a un centenar de profesionales y entre sus clientes a varias empresas del Ibex 35. Parte de su trabajo consiste en analizar técnicas empleadas por ciberdelincuentes para detectarlas más fácilmente. Durante los últimos dos años, han llevado a cabo una investigación para identificar las conexiones entre múltiples dispositivos que usamos cada día: móviles, ordenadores, cerraduras inteligentes o el coche, que también incorpora Bluetooth. Y en medio de ese análisis han desarrollado BlueTrust, una tecnología que ha permitido detectar vulnerabilidades en el sistema.
La investigación policial es uno de los campos a los que podría aplicarse el invento. Con BlueTrust la Policía puede extraer datos almacenados en un teléfono bloqueado y del que no se dispone de contraseña. Así, las fuerzas de seguridad pueden avanzar en investigaciones sin necesidad de realizar pruebas más invasivas como la extracción de la memoria del dispositivo o la ruptura de las claves de cifrado.
El BlueTrust permite descubrir localizaciones, esto es, ubicar un teléfono móvil en distintos lugares en los que se encuentran Bluetooth «fijos» como cerraduras o televisiones inteligentes, con los que el móvil ha interactuado en el pasado. También detectar conexiones con dispositivos de otras personas, para sondear las relaciones personales del dueño del móvil.
Peligros
Otra de las líneas de la investigación de la compañía ha consistido en aplicar el BlueTrust para mejorar la capacidad de las empresas de evaluar su propia seguridad. Red Team es como en el sector se conoce a un ataque simulado. Es decir, la propia organización lanza un ciberataque contra sí misma para probar cuánto de segura es frente a un posible hackeo. Lo que Tarlogic plantea es que las empresas puedan aplicar la tecnología que han desarrollado para realizar ataques dirigidos a personas seleccionadas y así encontrar dispositivos vulnerables.
Sin embargo, lo que también pone de relieve la investigación son las diferentes brechas de seguridad del sistema Bluetooth. Poner en marcha técnicas de Ingeniería Social, como el phishing, para lograr que un profesional descargue un virus en su móvil, o extraer información para llevar a cabo ataques físicos contra las instalaciones de una empresa. Son algunos ejemplos de ataques simulados que puede ejecutar una compañía a través del BlueTrust, pero también evidencias de cómo la tecnología Bluetooth tiene vulnerabilidades de las que se aprovechan los ciberdelincuentes.