Millones de dispositivos con Bluetooth LE están afectados por vulnerabilidades muy graves, ¿tienes alguno?

Casi como si fuera una costumbre, hoy nos vamos a merendar otra ración de malas noticias alrededor, como casi siempre, de fallas de seguridad y vulnerabilidades en algunos de los dispositivos que más y utilizamos a diario. En este caso, la amenaza se cierne sobre millones de gadgets que utilizan el llamado Bluetooth LE.

Esa abreviatura LE viene a significar 'baja energía' (low energy) y suele instalarse en dispositivos como wearables y otros objetos del llamado internet de las cosas: relojes inteligentes, pulseras que nos miden la actividad física, ratones, teclados, medidores de glucosa, relojes con función de alarma, etc.

Esta vulnerabilidad encontrada, que en realidad aglutina un total de 12 bugs distintos, ha recibido el nombre de SweynTooth y fueron descubiertos por un equipo de investigadores el año pasado, lo que ha dado tiempo a que muchos de los proveedores afectados hayan publicado parches que solucionan el problema. Lo inquietante es que algunos de ellos no han tomado medidas a esta hora.

¿A qué dispositivos afecta?

La gran mayoría de los agujeros de seguridad descubiertos parecen estar presentes en los kits de desarrollo del software de cada uno de los dispositivos que gestionan el chip que se encarga de la comunicación por Bluetooth LE. Y no creáis que son pocos los gadgets afectados: hasta un total de 480 productos diferentes pertenecientes a compañías como Xiaomi, Samsung, etc.

En total, se trata de millones de dispositivos afectados que tienen que ver con la seguridad en el hogar, objetos inteligentes con capacidad para conectarse al smartphone y, los más peligrosos de todos, aquellos objetos ligados a la industria médica que se encargan de realizar mediciones y que, hackeados en el momento menos oportuno, pueden provocar situaciones realmente peligrosas.

Fijaos si es así que, según el equipo de investigadores responsable del informe, "los dispositivos más críticos que podrían verse gravemente afectados por SweynTooth son los productos médicos. Los laboratorios VivaCheck, que fabrican medidores de glucosa en sangre, tienen muchos productos listados para usar DA14580 [...] Por lo tanto, todos estos productos son potencialmente vulnerables al ataque L2CAP truncado. Aún peor, Syqe Medical Ltd. y su plataforma de inhalación de administración de medicamentos programable (Syqe Inhaler v01) se ve afectada junto con los últimos productos relacionados con marcapasos de Medtronic Inc."

Estos agujeros de seguridad permite a los hackers activar de forma remota puntos muertos, bloqueos en los dispositivos e incluso superar todas las medidas de seguridad para acceder a funciones sin ningún tipo de limitación. Eso sí, para llevar a cabo estos ataques es necesario que el pirata informático se encuentre muy cerca de nosotros, por lo que no pueden llevarse a cabo desde la distancia. Entre los productos que aparecen en la lista de afectados se encuentran ciertos Galaxy Fit de Samsung, algunos modelos de Xiaomi como los relojes y pulseras Amazfit, o las Mi Band 3 NFC y ratones y teclados que utilizan este tipo de conexiones. Como siempre, recomendaros confirmar que tenéis actualizaciones de seguridad disponibles para instalarlas cuanto antes. Así terminaréis con la amenaza.