La gallega Tarlogic desarrolla la primera metodología mundial para detectar fallos en Bluetooth
TECNOLOGÍA
La empresa de ciberseguridad ha identificado vulnerabilidades que permiten que se acceda a la información confidencial de un ordenador a través de un simple ratón o de un teclado, lo que abre la puerta a infinidad de prácticas maliciosas por parte de los delincuentes virtuales
30 may 2024 . Actualizado a las 11:57 h.Ratones, teclados, mandos de videoconsola, dispositivos médicos… Tarlogic Security ha detectado a lo largo de los últimos meses vulnerabilidades críticas que permitirían tomar el control de ordenadores, robar información muy sensible o escuchar conversaciones privadas. Este trabajo ha formado parte del desarrollo de BSAM (Bluetooth Security Assesment Methodology), la primera metodología de evaluación de seguridad de Bluetooth a nivel internacional. Esta herramienta abierta y colaborativa permite estandarizar las pruebas de seguridad que se deben realizar para analizar los dispositivos que usan esta tecnología. Bluetooth es un estándar global de vital importancia para el funcionamiento de millones de dispositivos de internet de las cosas (IoT) que usan ciudadanos, hogares y empresas. De ahí que resulte esencial detectar la presencia de cualquier vulnerabilidad en su funcionamiento antes de que sea explotada con éxito por agentes maliciosos.
La metodología de evaluación de seguridad de Bluetooth, se enmarca dentro del trabajo de investigación continua que ha llevado a cabo Tarlogic en los últimos años y que le ha permitido liderar el fortalecimiento de la seguridad del estándar Bluetooth a nivel internacional. Por ello, BSAM está pensada para ser empleada por fabricantes, investigadores, desarrolladores y profesionales de ciberseguridad en todo el mundo. El principal objetivo de metodología es estandarizar las auditorías de seguridad que se realizan a los dispositivos IoT para verificar que son seguros desde el punto de vista de las comunicaciones Bluetooth.
Vulnerabilidades detectadas y explotaciones maliciosas
A lo largo del desarrollo de BSAM, el equipo de Innovación de Tarlogic empleó esta metodología para auditar múltiples dispositivos de consumo masivo que emplean la tecnología Bluetooth para comunicarse. Esta investigación permitió constatar que el 50 % de gadgets como ratones inalámbricos o mandos de videoconsola son emparejables por defecto. Lo que implica que actores maliciosos puedan capturar datos específicos de los dispositivos y llegar a suplantarlos para acceder de manera ilegítima a los equipos con los que están emparejados, como ordenadores. El 80 % de los dispositivos IoT analizados son descubribles y trazables. Esto supone un gran riesgo para la privacidad de las personas, al permitir monitorizar sus movimientos y acciones. El 90 % de los aparatos permiten acceder a información confidencial para lanzar ataques más avanzados. El 20 % de dispositivos como televisiones o manos libres emplean códigos PIN por defecto, tales como 0000 o 1111.
Estas vulnerabilidades de los dispositivos Bluetooth pueden explotarse para suplantar teclados y ratones inalámbricos para atacar ordenadores corporativos y personales, tomar el control y sustraer información crítica; obtener datos médicos a partir de dispositivos como equipos de apnea del sueño o pulsioximetría; escuchar conversaciones privadas vulnerando gadgets de nuestro día a día como mandos de videoconsolas; o emplear toda clase de dispositivos IoT para lanzar ataques más sofisticados contra instituciones, empresas, directivos y ciudadanos.
¿Por qué es crucial proteger a los dispositivos Bluetooth?
La explosión del Internet de las Cosas y la digitalización de las empresas y los hogares ha sido posible gracias al uso de la tecnología Bluetooth. El número de dispositivos inteligentes que están presentes en los domicilios y en los negocios crece de forma exponencial año tras año. Como consecuencia de ello, estos dispositivos se han convertido en un target prioritario para los delincuentes que desean atentar contra la seguridad y la privacidad de la ciudadanía y las empresas.
Si bien el uso de dispositivos Bluetooth se ha extendido a todos los ámbitos de la sociedad y la economía, juegan un papel fundamental en nuestra esfera personal, gracias a los smarthpones y a dispositivos como relojes o auriculares. Asimismo, son de vital importancia en ámbitos tan relevantes como: 1) el transporte: los sistemas de control de vehículos, los coches autónomos y los sistemas de control de tráfico emplean este estándar; 2) los hogares; millones de casas cuentan con cerraduras, electrodomésticos o termostatos inteligentes. 3) la salud:los monitores de frecuencia cardíaca y otros dispositivos médicos son esenciales para transmitir información sobre la salud de miles de pacientes de forma continua. 4) la industria: la digitalización del sector industrial va ligada a la incorporación de robots, sensores y controladores que emplean Bluetooth para comunicarse.
Verificar de forma continua la seguridad de los dispositivos que usan la tecnología Bluetooth es esencial para evitar que los actores hostiles puedan atacarlos, sustraer información confidencial, paralizar la actividad de las empresas, comprometer la integridad de los hogares y afectar a la salud de las personas.
¿Cómo se emplea la metodología de evaluación de seguridad de Bluetooth?
La estructura de BSAM es sencilla, clara e intuitiva. El centro de la metodología lo ocupan los controles, es decir, las verificaciones técnicas que se han de realizar para analizar la seguridad de los dispositivos desde la óptica del protocolo Bluetooth. Los 36 controles que forman parte de BSAM se agrupan en torno a siete categorías, la primera de ellas es introductoria y las otras seis se corresponden con el funcionamiento de la tecnología Bluetooth: 1) Recopilación de información. Los profesionales que lleven a cabo la evaluación deben recopilar la información pública sobre el dispositivo analizado y sus componentes. 2). Descubrimiento. Estos controles sirven para verificar que las configuraciones no son vulnerables ni se exponen datos sensibles durante esta fase. 3) Emparejamiento. Análisis de la configuración y los modos de emparejamiento para comprobar que no se permiten emparejamientos de dispositivos sin conocimiento y supervisión del usuario. 4) Autenticación. El objetivo de estos controles es comprobar que no se permite la autenticación de dispositivos desconocidos, lo que podría dar lugar a la exfiltración de información privada. 5) Cifrado. Estos controles evalúan la seguridad en el proceso de encriptación de las comunicaciones Bluetooth. 6) Servicios. Los evaluadores deben comprobar que no es posible acceder a servicios sin las credenciales adecuadas. 7) Aplicación. Los últimos controles de BSAM analizan la seguridad de las aplicaciones de un dispositivo expuestas a través de servicios Bluetooth. A mayores, BSAM pone a disposición de los profesionales y las compañías recursos para facilitar la ejecución y evaluación de estos controles.