Tras las llaves USB, el wifi, los enlaces a webs y las páginas infectadas con código, la conexión bluetooth del móvil, el teclado, el ordenador o los auriculares se acaba de convertir en la nueva puerta de entrada para robar información o dinero para los delincuentes informáticos. Así lo advertía este jueves el Instituto Nacional de Ciberseguridad (Incibe), que ha lanzado una alerta de nivel crítico a partir del aviso de la empresa de seguridad Armis, que cifraba en unos 5.300 millones de dispositivos los que podían estar afectados, aunque tras las actualizaciones, las cifras se rebajan a unos 2.000 millones de aparatos.

Armis, compañía de origen israelí y financiada por potentes fondos de inversión estadounidenses como Sequoia Capital (Airbnb, Whatsapp) o Tenaya (Kayak, Lyft), ha descubierto ocho vulnerabilidades, cuatro de ellas críticas, de las llamadas de día cero (esas que nadie sabe desde cuándo están) en el protocolo bluetooth, un invento de la firma Ericsson cuyas especificaciones no se han cambiado desde el 2012 y que mantiene un consorcio internacional desde 1998, que dicta unas normas generales de uso.

Esos fallos facilitarían ataques muy potentes gracias al uso de un canal que permite al delincuente informático acceder directamente a cualquier dispositivo conectado sin permiso del propietario. Los ataques, en este caso, irían más allá de los que se conocían hasta ahora por bluetooth, que en principio necesitaban la autorización del usuario para establecer la conexión.

DIFUSIÓN SIN PERMISO / El ataque del que ahora alerta Armis -que vende software de seguridad para internet de las cosas- le han dado el nombre de Blueborne y permite enviar código malicioso a un móvil u otro dispositivo con el bluetooth activado (móviles, ordenadores, teclados, auriculares...) y que este lo envíe a otros aparatos con bluetooth aunque no estén conectados con el primero y sin que ninguno de los propietarios de ninguno de los dispositivos se dé cuenta (lo que se conoce como un ataque de man in the middle, con intermediario).

El tipo de ataque permite infectar cualquier sistema operativo, aunque obviamente el malware tendría que tener la versión correcta para instalarse en un móvil Android o IOS, un ordenador Windows, Linux o Mac, o auriculares, teclados y demás. En un vídeo publicado el pasado martes, Armis plantea el caso de un mensajero que tuviera el terminal de recepción infectado, lo que diseminaría un virus informático como si fuera el de la gripe.

Ben Seri, jefe del equipo de investigación de Armis Labs, explicó que en un experimento en el laboratorio, pudieron crear una red de botnets e instalar un ransomware usando Blueborne. Los problemas, admiten, no están en el protocolo bluetooth sino en la implementación que hacen algunos fabricantes en sus dispositivos. Armis afirma que desde principios de verano, cuando detectaron el problema, avisaron a las distintas compañías (Microsoft, Google, Apple...) y la comunidad que mantiene Linux y que todas les han indicado que han arreglado el problema. La única que no les ha dicho nada es Samsung, añaden. El viernes, en la comunidad europea de usuarios de la firma aún había quejas de que no se hubiera lanzado el parche.

El gran problema, como ocurrió con el virus Wannacry, son los dispositivos que no se actualizan, tanto por desidia de los fabricantes (los de Android reciben el software de Google pero luego lo adaptan), como de los usuarios que no instalan las actualizaciones o aquellos que han quedado discontinuados y para ellos ya no hay soporte técnico. En estos casos, la única solución que les queda es desactivar bluetooth en entornos públicos cuando no lo usen.

El boletín de Kaspersky Labs, ThreatAttack, calcula en unos 2.000 millones el número de posibles dispositivos afectados, contando los aparatos para los que no hay actualización posible: móviles Android con versiones anteriores a Lollipop, del 2015 (unos 1.100 millones de dispositivos) y aparatos con Tizen (sistema basado en Linux que Samsung usa en teles y relojes) que suman otros 960 millones. Los dispositivos de Apple, según Armis, no están afectados, porque siempre avisan al usuario de que alguien intenta conectar.

Armis ha lanzado una app para Android que no solo detecta si el móvil es vulnerable sino también si lo son los dispositivos del entorno. Según la app, algunos dispositvos Apple antiguos sí son vulnerables.