Bluesnarfing

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

Bluesnarfing es el acceso no autorizado a información de un dispositivo móvil por medio de una conexión Bluetooth normalmente entre teléfonos, ordenadores de sobremesa o portátiles y PDAs (Asistente Digital Personal).[1]​ Esto permite el acceso a calendarios, lista de contactos, correos electrónicos y mensajes de texto, en algunos teléfonos móviles, los usuarios pueden incluso copiar fotos o vídeos privados. Tanto Bluesnarfing como Bluejacking se aprovechan de las conexiones Bluetooth de terceros sin su conocimiento. Mientras que el Bluejacking es esencialmente inofensivo ya que solamente transfiere datos, el Bluesnarfing es el robo de información del dispositivo que es objetivo del ataque.[2]

El software de móvil actual normalmente debe permitir una conexión mediante un estado temporal iniciado por el usuario para poder “emparejarse” con otro dispositivo para copiar contenido. Parece que hubo, en el pasado, informes de teléfonos móviles siendo Bluesnarfed sin el emparejamiento siendo explícitamente permitido. Después del descubrimiento y la divulgación de esta vulnerabilidad, los proveedores de dispositivos móviles parchearon sus implementaciones de Bluetooth.

Cualquier dispositivo con su conexión de Bluetooth encendida y configurada como “visible” (que puede ser encontrado por otros dispositivos Bluetooth) puede ser susceptible a Bluejacking y en cierto modo a Bluesnarfing si el software del proveedor es vulnerable. Apagando esta característica, la potencial víctima puede disminuir el riesgo de ser Bluesnarfed; sin embargo un dispositivo configurado como “oculto” puede ser Bluesnarfable si se adivina la dirección MAC del dispositivo por medio de un ataque de fuerza bruta. El principal obstáculo para este ataque es el gran número de direcciones MAC. Bluetooth utiliza una dirección MAC única de 48 bits, de los cuales los 24 primeros son comunes a un mismo fabricante.[3]​ Los 24 restantes tienen aproximadamente 16,8 millones de combinaciones posibles, lo que requiere un promedio de 8,4 millones de intentos para adivinarlos por fuerza bruta.

Los ataques a sistemas inalámbricos han aumentado junto con la popularidad de redes inalámbricas. Los atacantes normalmente buscan puntos de acceso o dispositivos inalámbricos no autorizados instalados en la red de una organización que permiten que el atacante eluda la seguridad de esta. Los puntos de acceso no autorizados y las redes inalámbricas de fácil acceso para terceros a menudo se detectan a través de wardriving, que utiliza un automóvil u otro medio de transporte para buscar una señal inalámbrica en un área grande. El Bluesnarfing es un ataque con el fin de acceder a información de dispositivos móviles que se transmite usando el protocolo Bluetooth. Con los dispositivos móviles, este tipo de ataque se utiliza a menudo para hacerse con la Identidad Internacional de Equipo Móvil (IMEI). El acceso a este código único permite al atacante desviar las llamadas telefónicas y los mensajes a otro dispositivo sin el conocimiento del usuario.

Los proveedores de Bluetooth aconsejan a los clientes con dispositivos vulnerables que los apaguen en áreas consideradas inseguras o que los configuren como “oculto”.[4]​ Esta configuración permite a los usuarios mantener su Bluetooth activado para poder usar productos compatibles o de confianza mientras que otros dispositivos no pueden localizarlos.

Debido a que Bluesnarfing es una invasión de la privacidad, es ilegal en muchos países.

Bluesniping[editar]

Bluesniping se ha convertido en una forma específica de Bluesnarfing que es efectiva en un mayor rango. Según la revista Wired, este método apareció en las conferencias de hackers Black Hat Briefings y DEFCON de 2004 donde se mostró en el programa The Screen Savers de G4techTV.[5]​ Se ha utilizado, por ejemplo, un "rifle" con una antena direccional, una PC integrada con Linux y un módulo Bluetooth montado en una culata plegable Ruger 10/22 para Bluesnarfing de largo alcance.[6]

Según Bluetooth Special Interest Group,[7]​ para entrar en un dispositivo Bluetooth, un atacante debe "forzar a dos dispositivos Bluetooth emparejados a romper su conexión", conocido Blueballing.[8]

En cultura popular[editar]

  • En la serie de televisión Person of Interest, Bluesnarfing, nombrado erróneamente en el programa Bluejacking, emparejamiento forzado o clonación de teléfonos, es un elemento común, usado para espiar y rastrear a las personas que los protagonistas intentan ayudar o parar.

Véase también[editar]

Referencias[editar]

Mark Ciampa (2009), Security+ Guide to Network Security Fundamentals Third Edition. Printed in Canada. Roberto Martelloni's home page with Linux source code of released Bluesnarfer proof-of-concept.