¿Qué es el bluesnarfing?

bluesnarfing

El bluesnarfing es una técnica de hacking en la que un intruso accede a un dispositivo inalámbrico a través de la conexión Bluetooth. Ocurre sin el permiso del usuario del dispositivo y suele desembocar en el robo de información o en algún otro tipo de daño.

El ya conocido Bluetooth

El Bluetooth es una tecnología inalámbrica de alta velocidad concebida para el intercambio de datos entre distintos dispositivos a corta distancia. De hecho, la mayoría tiene un alcance máximo de conectividad de unos 10 metros, que se reduce aún más cuando hay obstáculos (como paredes) entre los dispositivos.

Los aparatos conectados por Bluetooth suelen estar a salvo de los piratas informáticos porque las ondas con las que funciona esta tecnología cambian constantemente de frecuencia, a veces cientos de veces por segundo, un fenómeno se conoce como espectro ensanchado por salto de frecuencia (FHSS).

No obstante, Bluetooth no es completamente seguro ante los hackers y los dispositivos con esta tecnología son vulnerables a muchos tipos de ataques, incluido el bluesnarfing.

Protocolo de transferencia orientado a aplicaciones OBEX

Los cibercriminales organizan ataques bluesnarfing aprovechando las vulnerabilidades del protocolo de transferencia orientado a aplicaciones Object Exchange (OBEX), necesario para que los dispositivos se comuniquen entre sí.

Este protocolo facilita el intercambio de objetos o archivos binarios entre dispositivos con Bluetooth. OBEX se utiliza como una aplicación push & pull en la que el comando push carga archivos en el dispositivo, mientras que el comando pull los descarga.

Como el protocolo es abierto, no existen políticas de autenticación que pidan al usuario un PIN o una solicitud de emparejamiento. Esto hace que el protocolo sea vulnerable a los hackers, sobre todo a través de ataques bluesnarfing.

Modus operandi de estos ataques

Estos ataques se dirigen a dispositivos como ordenadores portátiles, teléfonos móviles y tabletas, cuyos propietarios han dejado activada la conexión Bluetooth. Eso hace que el dispositivo sea detectable, lo que permite a los hackers acceder a él sin el permiso del usuario. El atacante puede entonces hacerse con datos del dispositivo, como mensajes de texto o de correo electrónico, elementos del calendario, listas de contactos e incluso información potencialmente sensible, como contraseñas y archivos multimedia personales.

El bluesnarfing es una de las amenazas más graves para los dispositivos con Bluetooth. Aunque esta tecnología tiene un alcance operativo muy limitado, algunos atacantes han llegado a realizar ataques de bluesnarfing desde una distancia de hasta 90 metros de la víctima.

Los dispositivos son vulnerables al bluesnarfing siempre que Bluetooth esté activado y abierto. Al explotar una vulnerabilidad Bluetooth en un dispositivo móvil, un atacante puede acceder a la información sin dejar ninguna evidencia del ataque.

Por otro lado, los ataques de bluesnarfing pueden ser activos o pasivos: en un ataque activo, el hacker intenta emparejar su dispositivo con el de la víctima sin el permiso de ésta. El bluesnarfing pasivo se produce cuando el atacante solo escucha a partir de la conexión Bluetooth de la víctima, lo que le permite recopilar ciertos datos del dispositivo.

Cómo funciona un ataque de bluesnarfing

A menudo los atacantes suelen actuar en lugares concurridos, como estaciones de tren y centros comerciales. Buscan dispositivos Bluetooth detectables, los emparejan e intentan acceder a ellos y, si lo conseguen, pueden recuperar información del dispositivo.

Hoy en día, la mayoría de los atacantes utilizan software especializado para explotar las vulnerabilidades de los dispositivos con Bluetooth. Una de estas aplicaciones es Bluediving, que escanea e identifica dispositivos con Bluetooth con vulnerabilidades en su protocolo OBEX.

Después de que el atacante accede al dispositivo vulnerable a través de Bluetooth, Bluediving explora las vulnerabilidades, permitiendo al atacante acceder al dispositivo comprometido y descargar datos sin el conocimiento de la víctima.

Porque el objetivo principal del bluesnarfing es acceder de forma encubierta a la información de un dispositivo. Los hackers suelen vender esta información, normalmente en la dark web. En algunos casos, pueden utilizar la ciberextorsión, exigiendo un rescate a la víctima a cambio de devolver la información.

Además de robar los datos de la víctima, algunos hackers también pueden secuestrar un dispositivo para acceder a sus funciones de mensajería y llamadas. Ese dispositivo podría utilizarse entonces para realizar llamadas intimidatorias (como amenazas de bomba) o para ocultar su identidad mientras cometen otros delitos.

Cómo prevenir los ataques de bluesnarfing

Una de las formas más seguras y sencillas de prevenir un ataque de bluesnarfing es desactivar el Bluetooth de los dispositivos móviles cuando no se esté utilizando. Otras estrategias de prevención útiles son las siguientes:

  • Desactiva la opción de visibilidad de Bluetooth del dispositivo para evitar que otros se vinculen a él.
  • Protege el dispositivo con autenticación de dos factores (2FA).
  • Evita el emparejamiento por Bluetooth (no aceptes solicitudes) con dispositivos desconocidos.
  • Mantén el dispositivo actualizado con las últimas versiones y los últimos parches de seguridad.
  • Protege el dispositivo con un PIN seguro.
  • Limita el número de aplicaciones que tienen acceso a la conexión Bluetooth del dispositivo.
Utilizamos cookies para personalizar el contenido y los anuncios, para proporcionar funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre su uso de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis. View more
Cookies settings
Aceptar
Denegar
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active

Quiénes somos

Texto sugerido: La dirección de nuestra web es: https://aniwin.com.

Comentarios

Texto sugerido: Cuando los visitantes dejan comentarios en la web, recopilamos los datos que se muestran en el formulario de comentarios, así como la dirección IP del visitante y la cadena de agentes de usuario del navegador para ayudar a la detección de spam. Una cadena anónima creada a partir de tu dirección de correo electrónico (también llamada hash) puede ser proporcionada al servicio de Gravatar para ver si la estás usando. La política de privacidad del servicio Gravatar está disponible aquí: https://automattic.com/privacy/. Después de la aprobación de tu comentario, la imagen de tu perfil es visible para el público en el contexto de tu comentario.

Medios

Texto sugerido: Si subes imágenes a la web, deberías evitar subir imágenes con datos de ubicación (GPS EXIF) incluidos. Los visitantes de la web pueden descargar y extraer cualquier dato de ubicación de las imágenes de la web.

Cookies

Texto sugerido: Si dejas un comentario en nuestro sitio puedes elegir guardar tu nombre, dirección de correo electrónico y web en cookies. Esto es para tu comodidad, para que no tengas que volver a rellenar tus datos cuando dejes otro comentario. Estas cookies tendrán una duración de un año. Si tienes una cuenta y te conectas a este sitio, instalaremos una cookie temporal para determinar si tu navegador acepta cookies. Esta cookie no contiene datos personales y se elimina al cerrar el navegador. Cuando accedas, también instalaremos varias cookies para guardar tu información de acceso y tus opciones de visualización de pantalla. Las cookies de acceso duran dos días, y las cookies de opciones de pantalla duran un año. Si seleccionas «Recuérdarme», tu acceso perdurará durante dos semanas. Si sales de tu cuenta, las cookies de acceso se eliminarán. Si editas o publicas un artículo se guardará una cookie adicional en tu navegador. Esta cookie no incluye datos personales y simplemente indica el ID del artículo que acabas de editar. Caduca después de 1 día.

Contenido incrustado de otros sitios web

Texto sugerido: Los artículos de este sitio pueden incluir contenido incrustado (por ejemplo, vídeos, imágenes, artículos, etc.). El contenido incrustado de otras webs se comporta exactamente de la misma manera que si el visitante hubiera visitado la otra web. Estas web pueden recopilar datos sobre ti, utilizar cookies, incrustar un seguimiento adicional de terceros, y supervisar tu interacción con ese contenido incrustado, incluido el seguimiento de tu interacción con el contenido incrustado si tienes una cuenta y estás conectado a esa web.

Con quién compartimos tus datos

Texto sugerido: Si solicitas un restablecimiento de contraseña, tu dirección IP será incluida en el correo electrónico de restablecimiento.

Cuánto tiempo conservamos tus datos

Texto sugerido: Si dejas un comentario, el comentario y sus metadatos se conservan indefinidamente. Esto es para que podamos reconocer y aprobar comentarios sucesivos automáticamente, en lugar de mantenerlos en una cola de moderación. De los usuarios que se registran en nuestra web (si los hay), también almacenamos la información personal que proporcionan en su perfil de usuario. Todos los usuarios pueden ver, editar o eliminar su información personal en cualquier momento (excepto que no pueden cambiar su nombre de usuario). Los administradores de la web también pueden ver y editar esa información.

Qué derechos tienes sobre tus datos

Texto sugerido: Si tienes una cuenta o has dejado comentarios en esta web, puedes solicitar recibir un archivo de exportación de los datos personales que tenemos sobre ti, incluyendo cualquier dato que nos hayas proporcionado. También puedes solicitar que eliminemos cualquier dato personal que tengamos sobre ti. Esto no incluye ningún dato que estemos obligados a conservar con fines administrativos, legales o de seguridad.

Dónde enviamos tus datos

Texto sugerido: Los comentarios de los visitantes puede que los revise un servicio de detección automática de spam.
Save settings
Cookies settings