Bluetooth a la Internet de les coses: tot allò que has de saber

L’atac anomenat BLESA s’aprofita de vulnerabilitats de dispositius IoT i sistemes operatius

Cada vegada hi ha més objectes d’ús diari i que tenim a casa que es connecten a la xarxa, des de televisors fins a alarmes o joguines. Formen part de la Internet de les coses (en anglès, Internet of Things o IoT), aparells o estris capaços de transmetre i tractar dades amb intervenció humana o sense.

Aquesta connexió a Internet comporta molts avantatges, però també té els seus perills relacionats amb la ciberseguretat. Un de descobert recentment, si bé no consta a dia d’avui que s’hagi produït cap ciberatac d’aquest tipus, rep el nom de BLESA, inicials corresponents a Bluetooth Low Energy Spoofing Attack, és a dir, atac de suplantació d’aparellament del Bluetooth de baixa energia.

Per al seu funcionament, molts aparells casolans amb connexió a Internet executen el protocol Bluetooth de baixa energia (BLE), una versió més lleugera de l’estàndard Bluetooth original, dissenyada amb l’objectiu de reduir al màxim el consum d’energia i així incrementar el temps de funcionament autònom dels estris. És la vulnerabilitat d’aquest protocol la que sembla podria ser aprofitada pels ciberdelinqüents, amb finalitats (i afectacions per a les víctimes) molt diverses: des d’una suplantació d’identitat fins a informar d’un estat de salut equivocat en un lector d’insulina…


Dispositius amb protocol BLE

Es calcula que hi ha uns 1.000 milions de dispositius de la Internet de les coses que podrien ser vulnerables. És molt probable que a casa en tingueu algun. La infografia destaca els més comuns i la necessitat de seguretat que requereixen.

També convé tenir en compte que hi ha dispositius d’aquestes característiques relacionats directament amb la salut i/o la privacitat, i d’altres que simplement són enginys tecnològics.

  • IoT relacionats amb la salut i/o la privacitat: càmeres, monitors per a nadons o mascotes, monitors de salut, calefacció i aire condicionat, panys de portes, sensors de portes i finestres, detector de fum, sensor de temperatura, sensor de pulsacions, lector d’insolina o ploma d’insolina, e-tèxtil, consola del vehicle, Raspberry Pi i sensors vinculats.
  • Enginys tecnològics: Encaminadors, televisors, altaveus i assistents controlats per veu, rellotges intel·ligents, teclats i ratolins sense fils, micròfons inhalàmbrics, equips de so, auriculars sense fils, bombetes.

Què podem fer?

Els desenvolupadors de sistemes treballen constantment per resoldre les vulnerabilitats i fer dels IoT uns aparells més cibersegurs.

Com a recomanació general, fora bo ser coneixedors de tot allò que tenim a casa que requereix de connexió a Internet, també dels aparells o joguines de la canalla que es connecten a la xarxa, i informar-nos de si l’objecte o model concret del que disposem ha tingut problemes relacionats amb la ciberseguretat. Cal tenir sempre una mirada crítica i estar informats d’aquest tipus de ciberamenaces. Si es té la certesa de ser víctimes d’un atac, sempre es pot acudir als Mossos d’Esquadra per posar una denúncia.

Una segona recomanació important: actualitzar el firmware dels dispositius IoT, i especialment, actualitzar el SO i aplicacions dels equips usats per connectar-s’hi.

Apagar el Bluetooth de l’equip quan no es fa servir (ja que contínuament està sol·licitant reconnectar), i eliminar del llistat de dispositius autenticats aquells que ja no s’utilitzin, són també rutines que s’han de tenir en compte per evitar ciberatacs a través dels aparells que conformen la Internet de les coses.

Voleu saber encara molt més sobre l’atac BLESA? Descarregueu-vos el PDF BLESA: Spoofing Attacks against Reconnections in Bluetooth Low Energy.