| 17/01/06 |
 |
 |
|
|
|
|
|
|
Ezequiel Sallis,
de I-Sec.
|
|
I-Sec alerta sobre los riesgos de sufrir un ataque a través de Bluetooth |
Ante la creciente demanda de productos con tecnología Bluetooth (celulares, notebooks y PCs, entre otros), Ezequiel Sallis, Senior Security Consultant de I-Sec Information Security Inc., plantea los riesgos sobre el mal uso y las posibilidades de ser víctimas de un ataque. “La mayoría de los ataques están relacionados con fallas en cuanto a lo que es la implementación de dicha tecnología. El protocolo Bluetooth fue diseñado con ciertas debilidades, no intencionadas, y la aplicación que le dan algunos fabricantes la potencian aún más a favor de una agresión”, afirmó el responsable del área. No obstante, no todos los dispositivos existentes sufren de la misma vulnerabilidad, sino que dependen del modelo y del fabricante.
Asimismo, los dispositivos tienen dos estados: modo descubrimiento o no descubrimiento. En el último caso, los dispositivos no pueden ser vistos por un atacante que utilice herramientas comunes, con lo cual el agresor deberá realizar un proceso de descubrimiento emitiendo un ataque de fuerza a las direcciones Mac Address (BD_ADDR). Sin embargo, una vez que es descubierto, ya es susceptible de cualquier ataque. Por otra parte, “también hay dispositivos que están en modo descubrimiento –indicó el entrevistado–, con lo cual el atacante contacta al dispositivo a través del nombre amigable más el nombre del modelo”.
Los ataques más comunes consisten en extraer la agenda telefónica y calendario del celular, modificar o borrar entradas en el calendario, o en los contactos telefónicos, enviar un mensaje SMS desde el celular comprometido y hasta provocar que el celular realice llamadas telefónicas a los números que el atacante desee, “aunque lo único que no se ha logrado es que pueda hablar, pero sí va a terminar pagando un costo muy alto por la agresión”, señaló Sallis.
Frente a esta situación, el trabajo que realiza I-Sec consiste en un plan de acción para mitigar los riesgos. “Hacemos un test de penetración –que no se aplica solamente a Bluetooth, sino a toda la estructura tecnológica– donde simulamos distintos perfiles del atacante y empezamos a vulnerar. Eso se refleja en un informe, donde también se exponen las medidas y recomendaciones.” Más allá del trabajo realizado por la empresa proveedora de soluciones de seguridad, el cliente “está obligado a evaluar los riesgos a los que está expuesto y la probabilidad de ocurrencia; sobre lo que más altas probabilidades de riesgo tiene, le debe aplicar un control”, sostuvo el Senior Consulting.
Según las proyecciones de los analistas, con las cuales Sallis coincide, el futuro de la tecnología inalámbrica recién está empezando “y va a ir para adelante”, aseguró. A su entender, Bluetooth es una tecnología muy útil y muy barata, porque demanda poco trabajo de implementación y la utilización de los equipos requieren de una escasa inversión. “A nivel de lo que es desarrollo de tecnologías se van a seguir cometiendo errores, pero se va a lograr que algunos de los equipos ya cuenten con medidas de seguridad”, pronosticó.
