Bluetooth está presente en la inmensa mayoría de los dispositivos modernos, todo un logro teniendo en cuenta que originalmente no estaba diseñado para la mayoría de las funciones que hoy tiene. Pero tal vez por eso esta tecnología inalámbrica aún sufre de serios problemas de funcionamiento y seguridad; por ejemplo, el mes pasado se reveló un fallo de Bluetooth presente en todos los móviles vendidos en España. Y no es el único.
Ahora, una nueva vulnerabilidad se ha hecho pública, y es incluso más grave que la anterior; además de afectar a los smartphones, también afecta a ordenadores y básicamente cualquier cosa que tenga Bluetooth. Lo peor es que se trata de un fallo que ocurre a un nivel tan bajo que permite el acceso total al dispositivo, una puerta de entrada con la que los hackers seguramente sueñan a menudo.
En concreto, hablamos de la vulnerabilidad CVE-2023-45866, descubierta por el investigador de ciberseguridad Marc Newlin. El problema radica en el método de autenticación que usan los dispositivos durante el proceso de emparejamiento, que podría permitir a un atacante engañar a nuestro móvil u ordenador para hacerle creer que está conectado a un teclado Bluetooth que ha recibido permiso.
En otras palabras, un atacante podría tomar el control completo de nuestro dispositivo, conectando su propio teclado para enviar órdenes; por ejemplo, para ejecutar comandos en nuestro ordenador sin nuestro permiso, instalando las apps que quiera y transmitiendo nuestros datos a un servidor externo. Para realizar semejante ataque, no necesitaría nada especial más allá de un ordenador Linux y un adaptador Bluetooth convencional; eso sí, necesitaría estar cerca de nuestro dispositivo, en el rango de la conexión Bluetooth.
El ataque se aprovecha de un tipo de conexión definida en la especificación oficial de Bluetooth, que no requiere la autenticación para emparejar un dispositivo; el fallo está en que eso se puede usar para hacerse pasar por un dispositivo que sí ha pasado por la autenticación. El fallo está presente desde la versión 4.2.2 de Bluetooth lanzada en noviembre de 2012, por lo que afecta a todo tipo de dispositivos Android, iOS, macOS y Linux. Curiosamente, no hay mención sobre si afecta a equipos con Windows.
La única buena noticia es que Newlin ya avisó a los fabricantes el pasado mes de agosto, antes de hacer público este descubrimiento; sin embargo, no ha publicado los detalles técnicos aún porque no todos los fabricantes han actualizado sus dispositivos. Por el momento, algunos como Google, Apple y algunas distribuciones Linux ya han confirmado la existencia del ‘bug’ y que han lanzado o van a lanzar actualizaciones. Por lo tanto, lo recomendable en estos momentos es actualizar nuestro dispositivo lo antes posible a la última versión del sistema disponible.