El bluetooth cambió nuestros accesorios y nuestra música, pero ¿cuál es su lado oscuro y cómo afecta nuestra seguridad?
Según Wikipedia, ¿qué es Bluetooth?
Bluetooth es una especificación industrial para Redes Inalámbricas de Área Personal (WPANs) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM de los 2,4 GHz
Bajándolo a lenguaje que podamos entender todos, el bluetooth es una especie de protocolo estándar para que dos o más dispositivos se comuniquen sin cables entre sí. Una de las particularidades del bluetooth es que utiliza una dirección única por dispositivo (mac address), permitiendo relacionar esta dirección a un dispositivo específico. De esta manera sabemos qué dispositivo es al cual nos estamos comunicando o transmitiendo datos. Por ejemplo si utilizamos un auricular bluetooth con nuestro teléfono, primero hay que realizar un pairing, esto significa enlazar los dos aparatos para que tengan autorización a comunicarse entre sí. Al realizar esta acción, nuestro teléfono sabrá la dirección única del auricular bluetooth al igual que su nombre, entonces la próxima vez que active el auricular bluetooth el teléfono lo reconocerá automáticamente y enviará el audio de los llamados al auricular sin necesidad de realizar la configuración nuevamente.
¿Pero cuál es el problema con la seguridad y/o privacidad?
Hicimos un pequeño experimento utilizando sólo un dongle bluetooth en un servidor de desarrollo (con ubicación estratégica) y un script que verifica los dispositivos bluetooth que se encuentran en el rango (10 metros) y encontramos que nuestra seguridad y privacidad puede encontrarse en peligro. Este script se encargaría de almacenar la dirección del dispositivo, su nombre y su hora de detección. El fin de este experimento no era mostrar los problemas de privacidad del bluetooth, sino explorar las posibilidades tecnológicas del bluetooth dentro del marketing, las cuales son muchas y muy impresionantes. El script quedó corriendo por dos semanas, y cuando decidimos analizar los datos almacenados en la base de datos vimos que el resultado fué fascinante, no sólo captamos una gran cantidad de movimiento, sino que sabíamos los horarios de entrada y salida de varios vehículos con bluetooth del edificio, descubrimos el nombre de algunos de nuestros vecinos y también sus horarios de entrada y salida. Se preguntarán cómo sabemos que los dispositivos eran autos o vecinos. Cuando se le define un nombre personalizado al dispositivo, queda en evidencia información personal que es visible por cualquier otro dispositivo bluetooth. Por ejemplo (datos ficticios):
- Dirección bluetooth: 00:1c:62:41:89:6c
- Nombre: Blue&Me (sistema bluetooth de autos marca Fiat)
- Dirección bluetooth: 00:1c:62:21:6a:48
- Nombre: Silvina
Si vemos que todos los días el dispositivo de Silvina entra en rango entre las 8am y a las 7pm (por poner un ejemplo), suponemos que esta persona trabaja de Lunes a Viernes entre las 8am y 7pm. De manera inversa, podríamos saber que Silvina no se encuentra en su casa en ese horario. Con esta información, dejo que cada uno de ustedes imagine para qué puede utilizarse y si se animan los invito a poner sus ideas en los comentarios de este post.
3 consejos al usar bluetooth para mejorar tu seguridad
En caso de que el ejemplo anterior les haya hecho pensar un poco más en su seguridad, les dejo algunos consejos:
1) Activar el bluetooth sólo cuando debe utilizarse es incómodo ya que no sería práctico activar el bluetooth cuando recibimos un llamado telefónico y queremos utilizar nuestro auricular bluetooth, lo mismo si queremos utilizar el manos libres del auto. Por lo tanto el mejor consejo sería configurar el dispositivo como no visible.
2) Evitar ponerle un nombre al dispositivo que sea un dato personal como nuestro nombre, apellido o apodo.
3) Otro de los consejos que puedo darles es no dejar el nombre por defecto que trae el dispositivo, la mayoría de los teléfonos traen como nombre la marca y modelo del mismo por lo que en caso de que nuestro teléfono tenga un bug de seguridad, un atacante podrá reconocer fácilmente que nuestro teléfono es vulnerable.
Cin May 31, 2011
Muy buenas infos !
Sigan así !