Consejos

Cómo hacer seguro a Bluetooth

Cómo hacer seguro a Bluetooth

Bluetooth es una tecnología de conectividad inalámbrica de corto alcance que, por sus características de transmisión, se convierte en una buena opción para interconectar pequeños dispositivos. Su facilidad de uso, capacidad de transmisión y costo han provocado que su despliegue resulte espectacularmente rápido y extenso, ampliando las posibilidades de conectividad personal en cualquier lugar. En la actualidad, es raro encontrar una nueva computadora portátil, agenda de mano o teléfono móvil que no disponga de este tipo de conexión, y su uso se ha extendido a otros elementos como altavoces, manos libres, conexión a redes, dispositivos de almacenamiento y otros. Tanto es así, que la evolución de esta tecnología se plantea para sustituir a las sufridas conexiones USB.

Sin embargo, como siempre ocurre con las tecnologías emergentes, se ha puesto todo el énfasis en la sencillez de uso y posibilidades de conexión dejando de lado otros aspectos no menos importantes de las transmisiones actuales y que preocupan a los usuarios, como es la seguridad. Algunos ataques sobre estas conexiones, la publicación de algunas vulnerabilidades y la difusión de procedimientos para atacar dispositivos móviles han sembrado la duda sobre los beneficios de esta tecnología.

El estándar para conexiones Bluetooth no sólo se preocupa de conseguir conectividad. También define mecanismos robustos, a distintos niveles, para que las conexiones sean seguras. A nivel de transmisión, la seguridad de Bluetooth viene implícita en el propio modo de transmisión que utiliza (la técnica de salto de frecuencia), que garantiza que las conexiones sólo se producen entre los dispositivos enlazados, autorizados, y la comunicación no puede ser interceptada. Esto es así por la transmisión por salto de frecuencia, que consiste en dividir la banda base de conexión en distintos canales, con una longitud de 1 MHz cada uno de ellos, e intercalar los paquetes transmitidos entre esos canales con una secuencia de 1.600 saltos por segundo.

Cuando se establece la conexión Bluetooth, el dispositivo que actúa como maestro establece un patrón de saltos, de forma seudo aleatoria, que se utilizará durante la comunicación y que seguirán aquellos dispositivos que actúan como esclavos, una vez que hayan recibido dicha secuencia, mediante un paquete específico denominado FHS ( Sincronización de Salto de Frecuencia). El intercambio de paquetes entre dispositivos se produce de acuerdo a esta secuencia preestablecida, de forma que en cada instante de tiempo, cada dispositivo envía o recibe paquetes en un determinado canal. Cualquier otro dispositivo que no esté informado de la secuencia de canales utilizada no podrá participar de la transmisión y tendrá muy pocas oportunidades para “adivinar” la secuencia de salto de canales utilizada.

A nivel de enlace de datos, los dispositivos Bluetooth disponen de tres mecanismos de seguridad para evitar interferencias en las comunicaciones. Los dispositivos emparejados pueden verificar la identidad del otro mediante la autenticación. Este mecanismo verifica la identidad de dispositivos, no de usuarios, y se produce en el momento de establecerse el enlace entre ellos en la primera conexión. El usuario del dispositivo maestro introduce un código ASCII que sirve de base para formar una clave de seguridad que deberá ser la misma que presente el dispositivo esclavo cuando se produzca el enlace. Es decir, el usuario del otro dispositivo deberá introducir el mismo código ASCII. Esta clave puede ser de hasta 16 bytes, un tamaño que produce claves muy robustas.

Verificada la identidad de los dispositivos, existe una segunda barrera de seguridad. Con la autorización, en Bluetooth se establece el nivel de acceso a los servicios que proporciona un determinado dispositivo. Se definen niveles de confianza para permitir un acceso total, parcial o nulo, que se apoya en una base de datos que tienen todos los dispositivos Bluetooth en la que se registran la identidad de los dispositivos en los que se confía, junto con su dirección MAC, nivel de confianza otorgado y clave de enlace. Esta base de datos puede ser gestionada manualmente. Cuando un dispositivo intenta acceder a un determinado servicio que proporciona otro, este último verifica si el emparejado figura en su base de datos de confianza, en cuyo caso accederá sin más trámites. En caso de no estar registrado, se requiere la intervención del usuario para conceder o denegar la conexión. El acceso concedido puede ser temporal.

El tercer mecanismo de seguridad es la posibilidad de cifrar la comunicación. Establecido el enlace y pasada la autenticación entre maestro y esclavo, deben ponerse de acuerdo en utilizar cifrado en los datos intercambiados, que evite que los paquetes que puedan ser interceptados sean legibles. Bluetooth utiliza un algoritmo de cifrado basado en clave simétrica, SAFER+, a nivel de claves de autenticación y codificado de datos, que utiliza bloques de 128 bytes, así como 4LFSR, que es un cifrador de flujo, más adecuado para cifrar el enlace de datos rápidamente. Ésta es una característica de seguridad opcional, por lo que puede ocurrir que no todos los dispositivos puedan ponerse de acuerdo sobre el tamaño de la clave a utilizar para la encriptación y no puedan intercambiar datos cifrados.

Estas tres medidas de seguridad esbozadas a nivel de enlace de datos se combinan entre sí para dar lugar a tres modos de seguridad en el que pueden operar los dispositivos Bluetooth. En Modo 1, no existe ninguna seguridad. Las barreras de protección posibles se encuentran deshabilitadas y los dispositivos operan en un modo promiscuo, en donde un dispositivo acepta la conexión de cualquier otro. Obviamente, no hay cifrado de datos. En Modo 2, la seguridad se aplica una vez establecido el enlace con la autorización. El acceso a los servicios se produce según el nivel de confianza y el usuario debe confirmar la autorización de acceso a los servicios restringidos de aquellos dispositivos no autorizados. Si bien los datos de difusión para establecer el emparejamiento no se cifra, el tráfico punto a punto puede codificarse según la clave negociada en la sesión. El Modo 3 aplica seguridad antes de establecerse el canal de comunicación. El emparejamiento es específico entre los dispositivos, por lo que es imprescindible contar con clave de enlace y los usuarios deben introducir un código de validación. Todo el tráfico es cifrado.

Como se ve, Bluetooth cuenta con los suficientes mecanismos de protección con los que ofrecer unas posibilidades de conexión realmente seguras. Las brechas de seguridad que se han detectado para estas conexiones han sido provocadas por la implementación que los fabricantes han hecho en sus aparatos y los hábitos de utilización de los propios usuarios. No son consecuencia directa de la propia tecnología. Así, la primera generación de teléfonos móviles que incorporó este tipo de conexiones, no implementaba ninguna medida de seguridad, sólo operaban en Modo1. El Modo 2 fue incorporado rápidamente en los siguientes modelos, cuando se materializaron algunas amenazas que dejaron al descubierto el enorme riesgo que supone conectar sin ninguna medida de protección. A partir de aquí, el Modo 3 se ha ido incorporando paulatinamente, comenzando con los modelos de gama alta y en determinados servicios, para llegar al momento actual, en el que prácticamente todos los dispositivos de mano con Bluetooth lo implementan para todos los servicios. Un esfuerzo de los fabricantes por hacer seguros sus dispositivos que no será eficaz si el usuario final no toma conciencia del riesgo existente y hace uso de estas conexiones de forma segura.

Los ataques a los dispositivos de mano por Bluetooth empezaron a documentarse a finales de 2003 y pueden conseguir distintos objetivos, que oscilan entre la obtención de algunos de los datos guardados en estos aparatos, hasta la toma de control de los mismos. Según la pericia del hacker, un ataque puede significar el robo de datos simples, como los de agenda y calendario, que pueda hacer una copia completa de todo el dispositivo o conseguir un acceso total a todas sus funciones, incluyendo voz y mensajería. Riesgos a los que hay que añadir la posibilidad de que Bluetooth se convierta en la puerta de entrada de virus y otro código malicioso, que prosperan en la misma proporción con la que proliferan los dispositivos móviles complejos, que permiten la instalación y ejecución de aplicaciones, bajo sistemas operativos como Windows o Symbian. Y es un peligro que no queda limitado a los dispositivos de mano atacados. La aplicación de Bluetooth a pasarelas de conexión puede dar lugar a que el ataque de un dispositivo comprometa la seguridad de la red en la que opera.
Afortunadamente, las medidas de protección que incorpora esta tecnología inalámbrica han demostrado ser lo suficientemente robustas y el éxito de los atacantes tiene más que ver con la mala práctica de los usuarios. Puede decirse que la protección de las conexiones Bluetooth es responsabilidad exclusiva de los usuarios que sólo han de preocuparse de aplicar unas sencillas normas de uso.

Seguridad pasiva
La primera medida que se ha de adoptar para no tener disgustos con Bluetooth es seguir la máxima de “quien evita la ocasión, evita el peligro”. Interesa no mantener siempre activas estas conexiones y activarlas sólo cuando se vayan a utilizar, hacer la transmisión con los dispositivos de confianza que toque y, una vez terminado el intercambio, volver a desactivar este enlace. Para realizar esta operación, hay que consultar el manual de operación del dispositivo en cuestión. En los teléfonos móviles más sencillos suele realizarse desde el menú de configuración para conectividad que incorporan, mientras que para aquellos más complejos, PDA y ordenadores portátiles, hay que acceder a las opciones de configuración del sistema operativo. En cualquier caso, es una operación desprovista de complejidad para realizarse y algunos fabricantes, incluso, la facilitan, pulsando un botón.

Aunque aplicar esta sencilla medida de prevención pueda parecer a primera vista engorrosa, en la práctica no representa mayor trastorno. Seguro que menos que los que puede producir un ataque o un virus. Aquellos usuarios que hacen uso ocasional de Bluetooth estarán mejor predispuestos a tomar esta precaución, mientras que aquellos otros, felices de que su dispositivo móvil reciba publicidad y otros datos de interés diverso sin haberlo solicitado, lo podrán ver como muy restrictiva. Para los primeros, poco hay que insistir para que se conciencien sobre esta medida, pero a los segundos hay que recalcar que intentos de accesos que pueden parecer totalmente inofensivos, como puede ser la publicidad conocida como “marketing de proximidad”, puede enmascarar un ataque en toda regla. “Blueline” es un ejemplo de un ataque que busca engañar al usuario para que autorice una conexión que permita al atacante acceder a los comandos AT del dispositivo y tomar el control del mismo.
Cuando la conexión Bluetooth se encuentre activa, interesa que el dispositivo pase lo más desapercibido posible. Lo primero, que su visibilidad respecto a otros dispositivos, sea lo más reducida posible, configurándolo como oculto, no descubrible. De esta forma, cuando la conexión esté activa no advierte de su presencia indiscriminadamente, por lo que el dispositivo evita que alguien lo fije en su punto de mira como blanco de un posible ataque. Esta configuración se encuentra dentro de las opciones de configuración de Bluetooth, normalmente etiquetada como “Visibilidad”. Del mismo modo, si el dispositivo tiene que estar visible, hay que evitar que publique información que facilite su ataque. Así, hay que prescindir de nombres de dispositivo que refleje datos como marca y modelo. Esta configuración, muy habitual en los valores con los que se entregan los dispositivos de mano, puede parecer inocua, pero resulta muy interesante para un atacante. Un nombre como “Nokia 1590” anuncia, directamente, las vulnerabilidades que pueden afectar al dispositivo y cómo se ha de lanzar un ataque contra él. Este nombre no es inamovible y en las propiedades de la conexión inalámbrica es inmediato encontrar la opción para cambiarlo por otro inofensivo.

En este sentido, para conseguir que Bluetooth resulte menos susceptible a las vulnerabilidades interesa consultar periódicamente la información de seguridad que, sobre sus dispositivos, publican los fabricantes en sus páginas web. Conviene consultar esta información para saber qué fisuras de seguridad pueden afectar a un determinado dispositivo y, en buena lógica, saber cómo eliminarlas o reducir el riesgo de que pueda ser explotadas por un atacante, bien cargando las actualizaciones que para su completa eliminación proporcione el fabricante, bien aplicando la operativa de uso que pueda recomendar para minimizar el riesgo de que se produzca. No obstante, resaltar que estas consultas no sólo interesan para estar prevenido en cuanto a seguridad. También puede advertir de problemas de funcionamiento del dispositivo y su correspondiente solución, como recientemente ha ocurrido con la batería fabricada en China que montaban determinados teléfonos móviles de una conocida firma europea. En el manual de instrucciones o en los CD-ROM que acompañan al dispositivo, el fabricante suele incluir referencias a las direcciones de internet en donde hacer estas consultas. Sitios que pueden ser de carácter público, accesible para cualquier visitante, o privado, sólo para clientes registrados, en cuyo caso, en esta documentación complementaria suelen incluir instrucciones para hacer este registro y acceder a éstas áreas restringidas. Esta medida se hace más necesaria cuanta más inteligencia tenga el dispositivo, sin olvidar la necesidad de instalar un programa antivirus.
Otra medida de seguridad pasiva que poco o nada se considera en los dispositivos de mano, tiene que ver con el uso que se da a estos. Más concretamente, con la información que se guarda en ellos. Ante la posibilidad de sufrir un ataque o, por qué no, perder el dispositivo, hay que ser escrupuloso con la información que se deposita en ellos. De vez en cuando, no está de más revisar los archivos que se guardan y aquellos que, por una u otra razón, se consideren “delicados”, conviene traspasarlos a otro almacenamiento más seguro, dejarlos a buen recaudo, a salvo de cualquier incidente en el dispositivo de mano.
El compromiso de datos bancarios, claves de acceso y otros datos similares puede causar un grave perjuicio. Pero no se puede olvidar que, por las características y uso que se da a estos aparatos, es frecuente que se guarden en ellos otros datos de carácter estrictamente personal, muy privados, que su publicación puede suponer graves conflictos personales. Mensajes, fotos, grabaciones de video o voz seguro tienen poco o ningún interés para un atacante desconocido. Sin embargo, su difusión en el círculo de familiares, amigos o compañeros puede ser demoledor para quien sufra el saqueo de su preciado dispositivo. No hay que temer únicamente a los posibles atacantes anónimos. Amigos, compañeros, por despecho, por venganza o bromeando, pueden ser los autores impensables de este tipo de tropelías, con el agravante de resultarles más fácil perpetrarlas, aprovechando la confianza que se tiene en ellos. Siempre que el dispositivo lo permita, interesa que, en reposo, tenga activado un código de acceso. De esta forma, si cae en malas manos, que al menos resulte difícil hacerse con los datos guardados y haya tiempo para reaccionar, algo importante en caso de robo o extravío.

Seguridad activa
Cuando se trata de emparejar con otros dispositivos, hay que ser cuidadoso con qué dispositivos se hace. No se debe aceptar conexiones entrantes de otros dispositivos que no sean de confianza. Aunque el pretexto para enlazar puede ser de lo más inofensivo, puede enmascarar una intrusión en toda regla, su preparación o la propagación de un virus. Algunos ataques conocidos se basan en el registro previo de los dispositivos de confianza para obtener acceso a los servicios que pueden darse por Bluetooth. Por esta misma razón, es importante que todos los servicios disponibles por este tipo de conexión sean configurados para requerir autenticación en cualquier tipo de acceso. En muchas ocasiones, en las configuraciones por defecto, los dispositivos de mano vienen parametrizados para que admitan conexiones sin autenticación, en una filosofía de fabricantes y operadores de máxima facilidad para que los usuarios conecten. Un ataque bien documentado como es “Laptop Whisperer” o “Bluesnarf” puede aprovechar esta configuración. El modo de aplicar esta configuración dependerá de las capacidades de cada dispositivo.

Para reforzar la confianza de las conexiones Bluetooth, no hay que tener reparo en utilizar claves de seguridad para el emparejamiento. El Número de Identificación Personal, PIN, hasta el momento no tiene documentado ningún procedimiento que consiga forzarlo, lo que garantiza la seguridad que proporciona cuando se trata de establecer conexión con otro dispositivo. Interesa utilizar claves extensas, como mínimo 5 caracteres (permite hasta 16) y que no sea siempre la misma para cualquier conexión. Hay que tener en cuenta que la clave hay que compartirla con los otros usuarios con los que se conecta, por lo que si se utiliza una clave que está muy difundida, pierde toda su validez, por muy estudiada que sea su composición. Aquí hay que tener cuidado con las configuraciones de serie, puesto que pueden establecer claves de acceso débiles y ampliamente difundidas, como puede ser “123”, cosa frecuente en altavoces y kit de manos libres para coche. Estas claves se definen cuando se establece la conexión entre los dispositivos.

Si en la transmisión, además, se puede utilizar encriptación, mejor que mejor. Esta característica, como se ha comentado, se contempla como opcional dentro de la seguridad de Bluetooth y no todos los dispositivos la tienen implementada, ni la soportan en las mismas condiciones, sobre todo en lo que tiene que ver con el tamaño de la clave con la que se genera el cifrado. Aunque la transmisión por salto de frecuencia es poco susceptible a escuchas (de hecho, su desarrollo proviene del ámbito de las comunicaciones militares) cabe la posibilidad de que un dispositivo malicioso pueda recibir la tabla de saltos e interceptar una comunicación. El intercambio de paquetes FHS se realiza en una frecuencia conocida y, aunque no resulta nada fácil, es factible obtener esta información. Además, aunque caros y difíciles de encontrar, existen en el mercado módulos Bluetooth especializados en barrer el espectro de frecuencias que utiliza esta tecnología y capturar paquetes en más de un canal simultáneamente, lo que permite escuchar este tipo de transmisiones. No obstante, salvo en casos en los que la seguridad sea un requerimiento ineludible, el cifrado en Bluetooth no resulta prioritario para evitar intrusiones y saqueos.

Por último, para evitar riesgos innecesarios, no hay que descuidar la lista de pares de confianza que mantiene cada dispositivo, ya comentada anteriormente. Es interesante que cada cierto tiempo se revise esta lista y manualmente se eliminen los registros innecesarios. Hay que borrar de esta lista, sin miramientos, a aquellos dispositivos con los que se conectó de forma puntual por alguna circunstancia concreta y, además, aquellos otros con los que se conecta de forma esporádica. Sólo han de aparecer listados aquellos dispositivos perfectamente conocidos, en los que se confía y con los que frecuentemente se enlaza. Mantener más entradas de las que realmente se necesitan da lugar a una situación de riesgo. Algunas vulnerabilidades pueden explotar con éxito este registro, como la ya superada “HeloMoto”. Según el dispositivo, dentro del menú en donde se definen las propiedades de Bluetooth, debe existir un acceso a esta lista, en donde se podrá purgar los registros innecesarios.
En resumen, las comunicaciones por Bluetooth no están exentas de riesgos y sólo el uso responsable de sus características de seguridad puede prevenir desagradables incidentes que pueden materializarse de distintas formas y tener graves consecuencias. La posibilidad de padecer estos incidentes es real y no debe despreciarse el riesgo existente que afecta a todos por igual. Su prevención pasa por conocer los mecanismos de seguridad que tiene Bluetooth, las posibilidades de los dispositivos de mano utilizados y concienciarse de la conveniencia de su aplicación.

Seguridad para Bluetooth: buenas prácticas
————————————————————
1.- Activar Bluetooth sólo cuando se vaya a utilizar.
2.- Asignar un nombre al dispositivo que no refleje marca ni modelo.
3.- Configurar el dispositivo para que no resulte visible para otros dispositivos.
4.- Revisar periódicamente la lista de dispositivos de confianza registrados.
5.- Utilizar claves de emparejamiento con al menos 5 caracteres.
6.- Requerir autentificación en cualquier intento de acceso.
7.- No aceptar ninguna conexión desconocida.
8.- Utilizar cuando sea posible cifrado en las transmisiones.
9.- Mantener actualizado el software del dispositivo de mano.
10.- Utilizar siempre que sea posible el bloqueo del dispositivo por clave.
11.- Evitar guardar en los dispositivos de mano archivos “delicados”.

Aunque el alcance efectivo de las conexiones Bluetooth no supera los 150 mts., en internet es posible encontrar manuales que detallan exhaustivamente el procedimiento de construcción de antenas direccionales y modificaciones para alterar los módulos de conexión estándar, para ampliar al máximo el alcance de la señal, hasta cerca de 1.000 mts, y conseguir un mayor radio de acción para intentar ataques en mejores condiciones de impunidad. Estos amplificadores suelen utilizarse para escuchas telefónicas, interceptando las conexiones inalámbricas entre los teléfonos y los kit manos libres que se instalan habitualmente en los automóviles.
 

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>