La asociación Bluetooth SIG, encargada del desarrollo de esta tecnología, ha descubierto una nueva vulnerabilidad en el estándar de conexión. Bautizada como BLURtooth, permite a atacantes realizar una intromisión en la señal de dispositivos privados para acceder a los mismos sin consentimiento del propietario.

Según describen los investigadores, el fallo da la posibilidad a los ciberdelincuentes de interceptar y modificar las claves de conexión entre dos aparatos conectados por Bluetooth. Esto podría derivar en el acceso del atacante a otros servicios o terminales que se controlen, a su vez, mediante la conexión inalámbrica del dispositivo al que se ha logrado acceso.

Impersonando un dispositivo ya conocido en una determinada conexión, el hacker tendría a su disposición un amplio abanico de opciones bajo las cuales operar y conseguir los objetivos propuestos. No obstante, existen algunas particularidades que pueden limitar el impacto potencial de esta brecha de seguridad.

El ataque "BLURtooth"

La primera consideración que hay que tener en cuenta es que BLURtooth puede ser explotado en las versiones Bluetooth 4.2 a 5.0, lo cual abarca una vasta cantidad de los dispositivos operativos en la actualidad. La primera de las mencionadas versiones comenzó a llegar al mercado en 2014, por lo que es fácil hacerse una idea de la ingente cantidad de terminales que incluyen tanto esa como las posteriores.

A pesar de ello, y aunque el dato sea ciertamente preocupante, existe otro factor, inherente a esta conectividad, que limita su potencial efecto dañino. Las conexiones por Bluetooth han de ser realizadas en un rango cercano entre los dos dispositivos que se quiere conectar. Por ende, el atacante deberá hallarse también próximo al terminal que quiere comprometer. En el caso del Bluetooth 4.2, la distancia máxima son 100 metros, mientras que el alcance se ve incrementado hasta los 240 metros en la 5.0.

Limitaciones importantes pero que, lamentablemente, no suponen una barrera definitiva para que BLURtooth no sea una amenaza. Menos aún si se tiene en cuenta que cada vez son más los aparatos que hacen uso del estándar para mantenerse operativos; desde smartphones hasta micrófonos, pasando por otros como cámaras de seguridad o cerraduras inteligentes.

Aunque es de esperar que existan pronto parches que solucionen este problema, aún no ha sido remitido ninguno. Según expresan desde el medio especializado ZDNet, uno puede mantenerse al tanto de si le llega esta solución comprobando en las actualizaciones de software y seguridad de sus dispositivos si se encuentra la clave CVE-2020-15802, identificativa del fallo descrito.