El investigador de seguridad Marc Newlin ha descubierto una vulnerabilidad en los stacks de Bluetooth de múltiples sistemas operativos que permitiría a los ciberdelincuentes tomar el control de dispositivos sin la confirmación del usuario.

La vulnerabilidad se produce cuando un ciberdelincuente se conecta a un dispositivo Bluetooth con un nombre de servicio engañoso que parece ser un teclado. El dispositivo objetivo cree entonces que está conectado a un teclado y permite al ciberdelincuente inyectar pulsaciones de teclas.

El ciberdelincuente puede utilizar esta vulnerabilidad para tomar el control de un dispositivo de diversas maneras. Por ejemplo, podría inyectar pulsaciones de teclas para iniciar una aplicación, acceder a datos o realizar una compra.

Cómo funciona la vulnerabilidad en Bluetooth

La vulnerabilidad se produce en el modo de servidor de los stacks de Bluetooth de los sistemas operativos Android, Linux, macOS e iOS. En este modo, los dispositivos Bluetooth pueden aceptar conexiones de otros dispositivos Bluetooth.

El ciberdelincuente puede explotar la vulnerabilidad utilizando un dispositivo Bluetooth con un nombre de servicio engañoso. Por ejemplo, el ciberdelincuente podría llamar a su dispositivo Bluetooth «Teclado de Google».

Cuando un dispositivo objetivo se conecta al dispositivo Bluetooth del ciberdelincuente, cree que está conectado a un teclado. Esto permite al ciberdelincuente inyectar pulsaciones de teclas en el dispositivo objetivo.

¿Qué puedes hacer para protegerte?

En primer lugar, actualiza tus dispositivos a la última versión del firmware o software. Los proveedores de software han lanzado parches para corregir la vulnerabilidad.

En segundo lugar, desactiva el modo de servidor de Bluetooth cuando no lo estés utilizando. Esto evitará que tu dispositivo Bluetooth acepte conexiones de dispositivos Bluetooth desconocidos.

Por último, recuerda que el miedo guarda la viña, por lo que ten cuidado a aceptar conexiones de dispositivos Bluetooth desconocidos. Si no estás seguro de un dispositivo Bluetooth, no lo aceptes, como tampoco lo harías con un caramelo por la calle.