Basta con que el delincuente se encuentre a 10 o 15 metros de distancia y tú tengas el bluetooth activado para que pueda acceder a tu teléfono
Una "clave familiar" puede salvar de estafas: la advertencia de la Policía sobre las estafas con voz clonada
El icono azul del bluetooth es uno de los más ignorados en cualquier barra de estado de los teléfonos móviles. Son muchos los que lo dejan encendido de forma permanente, ya sea para conectar los auriculares, el reloj, el altavoz del coche…, y pocos se plantean los peligros que supone este hecho. Sin embargo, las autoridades llevan tiempo advirtiendo de que ese hábito tan extendido puede convertirte en objetivo de un ataque silencioso e indetectable: el bluesnarfing. Esta es una técnica de ciberataque que afecta a los dispositivos móviles con el bluetooth activado y que puede comprometer seriamente la privacidad de los usuarios.
La advertencia es concreta: “¿Eres de los que siempre lleva el bluetooth del móvil activado? Pues alerta porque podrías ser víctima del bluesnarfing. Basta con que el delincuente se encuentre a 10 o 15 metros de distancia y tú tengas el bluetooth activado para que pueda acceder a tu teléfono.”
Qué es exactamente el bluesnarfing
Como explica el Instituto Nacional de Ciberseguridad, el término combina las palabras del inglés Bluetooth y snarf, que hace referencia a "copiar o a la extracción indiscriminada de datos sin permiso".
El bluesnarfing ocurre cuando los ciberdelincuentes aprovechan las vulnerabilidades en las conexiones Bluetooth para acceder de forma no autorizada a dispositivos cercanos. Esto sucede cuando esta tecnología se encuentra activa y visible, especialmente si el dispositivo no cuenta con las actualizaciones de seguridad más recientes. Los atacantes deben estar a poca distancia, ya que el alcance generalmente no supera los 15 metros. Un aspecto clave que facilita estos ataques es la presencia de debilidades en los protocolos de comunicación que utilizan el Bluetooth.
Lo que hace especialmente peligroso este ataque no es su sofisticación, sino precisamente lo contrario, ya que el bluesnarfing se ejecuta de manera silenciosa y prácticamente indetectable para la víctima, lo que aumenta considerablemente su peligrosidad.
Qué pueden robar
Con esta técnica se persigue robar datos tales como contactos, correos electrónicos, mensajes o incluso archivos almacenados en el móvil, que luego los hackers tienden a vender en la dark web o bien utilizar para cometer otro tipo de estafas o de extorsiones, afirman las autoridades.
El INCIBE va más allá, y afirma que las consecuencias pueden ir más lejos, ya que los ciberdelincuentes pueden acceder a datos como contactos, mensajes, fotografías, correos electrónicos o credenciales bancarias almacenadas en el dispositivo. Esta información puede ser utilizada para cometer fraudes, chantajes, extorsiones o incluso para dirigir ataques a personas cercanas a la víctima.
Por esto, si detectas inicios de sesión no reconocidos, compras no autorizadas o movimientos sospechosos en cuentas bancarias o perfiles en línea, podría ser consecuencia de que te hayan extraído los datos mediante bluesnarfing.
Por qué es tan fácil ejecutarlo en espacios públicos
La proximidad requerida es de entre 10 y 15 metros, y aunque suena como una limitación, en la práctica no lo es. En lugares públicos como centros comerciales, aeropuertos o eventos concurridos encontramos entornos ideales para los ciberdelincuentes, que aprovechan la cercanía y las conexiones activas para llevar a cabo sus actividades maliciosas.
Los cibercriminales organizan estos ataques aprovechando las vulnerabilidades del protocolo de transferencia orientado a aplicaciones Object Exchange (OBEX), necesario para que los dispositivos se comuniquen entre sí. Hoy en día, la mayoría de los atacantes utilizan software especializado para explotar las vulnerabilidades de los dispositivos con Bluetooth. Una de estas aplicaciones es Bluediving, que escanea e identifica dispositivos con Bluetooth con vulnerabilidades en su protocolo OBEX.
No todos los ataques requieren que la víctima acepte nada. El emparejamiento de los dispositivos del atacante y del usuario "puede producirse sin que la víctima tenga que autorizar la conexión o sin que reciba una notificación, ya que hay disponibles programas que, aprovechándose de vulnerabilidades no corregidas en los dispositivos, permiten conectarse sin que la víctima sea consciente de ello".
Cómo evitar este problema
Entre las recomendaciones de la Policía Nacional destacan tres medidas básicas. La primera, mantener siempre actualizado el software del dispositivo, ya que las compañías lanzan periódicamente parches de seguridad que corrigen fallos susceptibles de ser explotados. La segunda, activar el bluetooth solo cuando se vaya a utilizar, evitando dejarlo encendido de manera permanente. La tercera: rechazar cualquier solicitud de conexión bluetooth procedente de dispositivos desconocidos.
Si bien la Policía señala que tenerlo siempre encendido en casa no suele suponer una amenaza para la ciberseguridad, cuando salimos a la calle debemos tener más cuidado.
Además, los expertos sugieren que tomemos una medida técnica adicional: desactivar la visibilidad del dispositivo cuando no sea necesaria y evitar los emparejamientos automáticos para prevenir que otros dispositivos intenten conectarse sin permiso.
Un gesto sencillo y rápido, como apagar el bluetooth al salir a la calle, puede evitar que un desconocido que va en el metro contigo se lleve tu agenda, tus contraseñas o tus fotos.