En tiempos en las que la tecnología y las comunicaciones sobre esta son tan importantes, es también vital mantenerlas actualizadas y seguras. No obstante, la seguridad total no existe, y eso es algo que el mundo de los sistemas informáticos se tiene muy claro. Las asociaciones que dan soporte al estándar Bluetooth han vuelto a experimentarlo, ante la llegada de una nueva vulnerabilidad, BLURtooth.

El fallo de seguridad afecta a la totalidad de los dispositivos Bluetooth entre las versiones 4.0 y 5.0. Además, todavía no se ha lanzado ningún parche que controle su impacto. Es por esto que hablamos de, cuanto menos, cientos de millones de dispositivos y accesorios afectados, si bien no se ha proporcionado una cifra oficial y más específica.

BLURtooth, un fallo de seguridad todavía sin solución

La clave en cuestión, tal y como detallan en ZDNet, se encuentra en uno de los componentes que se utiliza para gestionar el emparejamiento entre dispositivos y la versión específica de Bluetooth que utilizan para emparejarse. De acuerdo a las publicaciones de la Bluetooth SIG –organización que desarrolla el estándar– y el Centro de Coordinación CERT de la Universidad Carnegie Mellon, sería precisamente en este componente, abreviado como CTKD, donde se encuentra el fallo.

Esto permite al atacante modificar totalmente las claves que se utilizan para este emparejamiento o bien debilitar su cifrado. De esta forma, sería posible obtener información del dispositivo haciéndose pasar por uno de los accesorios con los que está emparejado. La buena noticia es que, al menos, es necesario estar en el rango de actuación del Bluetooth para que surja efecto, por lo que esto per se limita su impacto.

La mala es que el alcance del Bluetooth puede ser relativamente amplio y superar en condiciones favorables el centenar de metros. No obstante, los dispositivos más recientes y modernos, con una versión de Bluetooth 5.1 están a salvo de BLURtooth. Este fallo ha sido descubierto por dos grupos investigadores, en Suiza y Estados Unidos, de forma totalmente independiente.

Desde la Bluetooth SIG ya se han puesto en contacto con los fabricantes de dispositivos certificados con este estándar para todos los que no lo estén. Todavía no está clara la forma en la que será corregido este fallo, ni cuándo. Y es que todavía no está disponible un parche a este fallo de seguridad en las telecomunicaciones de corto alcance. De cara a los consumidores, de hecho podría tardar en estarlo: a menudo la cadena de actualización es demasiado larga y no hay incentivos claros.

Los usuarios pueden realizar un seguimiento de si su dispositivo ha recibido un parche para los ataques BLUEtooth comprobando las notas de la versión del firmware y del sistema operativo para CVE-2020-15802, el identificador de error de la vulnerabilidad BLUEtooth.

Fuente: HiperTextual