Se trata de un fallo que no tiene arreglo y que permitiría a un hacker intervenir la información que se transmite por Bluetooth
Se llama BLURtooth y es un problema que puede traer de cabeza a los expertos en ciberseguridad de todo el mundo. Se trata de un importante fallo de seguridad que de momento no tiene arreglo y que ha sido notificado oficialmente por la organización responsable el estándar de comunicación bluetooth.
El fallo fue descubierto por dos grupos de académicos independientes, École Polytechnique Fédérale de Lausanne (EPFL) y Purdue University.
El fallo de seguridad es bastante sofisticado y emplea un componente clave del Bluetooth, llamado Cross-Transparant Key Derivation, o CTKD, para interceptar la información transmitida por Bluetooth entre todos dispositivos sin que estos sean conscientes de lo que ocurre de fondo.
BLURtooth es muy sofisticado en tanto que emplea las claves de identificación del estándar, que determinan cómo deben comunicarse los dos dispositivos (por BLE, o Bluetooth Low Energy; o por BR/EDR o Basic Rate/Enhanced Date Rate) para colarse donde no debe.
Un atacante podría manipular el componente CTKD para cambiar las claves de comunicación BLE o BR/EDR con otras claves que se pueden explotar para acceder a la información transmitida.
Desde ordenadores a tablets, pasando por móviles o relojes inteligentes, miles de millones de dispositivos son susceptibles de ser atacados por esta vía si funcionan con el estándar Bluetooth 4.0 o Bluetooth 5.0, por lo que el número de afectados por el fallo es inmenso. Prácticamente la totalidad de dispositivos lanzados en los últimos diez años son susceptibles de ser atacados por esta vía.
El problema es aún mayor si tenemos en cuenta que los responsables del estándar Bluetooth todavía no tienen un sistema de actualizaciones preparado para resolverlo y no saben cuándo van a poder bloquear el fallo. Sí prometen que solucionarán el problema y que tarde o temprano los dispositivos volverán a ser seguros, pero de momento, piden prudencia para los usuarios.
Dado que sólo Apple, Samsung, Google y un puñado más de compañías están al día con las actualizaciones de software, y dado que implementar esta solución de seguridad, cuando llegue, dependerá de cada fabricante de móviles, es posible que el fallo nunca se resuelva en los teléfonos con más de un año de vida.