Si pensabas que tus conversaciones telefónicas eran privadas, estabas equivocado. 

Tarlogic Security ha dejado claro que es posible conectarse a unos auriculares inalámbricos sin que el usuario se dé cuenta, activar el micrófono y escuchar todas las conversaciones de manera remota. 

Se trata de una investigación que ha sido presentada en la RootedCON, el mayor congreso de ciberseguridad de habla hispana a nivel mundial, que trata de alertar de las brechas de seguridad del Bluetooth. 

¿El gran problema de todo esto? Que durante la prueba de la compañía de ciberseguridad española han logrado acceder a auriculares inalámbricos de grandes fabricantes, como JBL o Samsung, activar sus micrófonos y escuchar y grabar conversaciones privadas. 

Durante la presentación en la RootedCON, Antonio Vázquez Blanco y Jesús María Gómez Moreno, miembros del equipo de Innovación de Tarlogic, han mostrado cómo han puesto a prueba muchos auriculares inalámbricos de grandes fabricantes y han logrado acceder de manera remota a esos dispositivos sin que el usuario tenga que realizar ninguna acción. 

Es importante concienciar de todo esto, ya que cada vez más gente usa auriculares de este tipo y además, la mayoría de estos dispositivos se mantienen activos todo el día sin que los usuarios se den cuenta. 

Además, incluso cuando los cascos se guardan en su funda, permanecen activos durante 3 o 4 minutos más, por lo que un atacante puede aprovechar ese intervalo de tiempo para conectarse a ellos y escuchar y grabar todo lo que hace la víctima a lo largo del día. 

Todo esto, como podrás imaginar, es una amenaza crítica para las empresas, ya que se puede convertir a estos auriculares inalámbricos en micrófonos para realizar actividades de espionaje industrial. 

Los riesgos a los que se exponen, además, van desde el robo de propiedad intelectual e industrial, hasta el acceso a información financiera, pasando por conversaciones en las que se exponga información sobre clientes o reuniones de cargos directivos en donde se discutan cuestiones estratégicas. 

Además, los investigadores del estudio también advierten de que las últimas versiones del estándar bluetooth permiten varias conexiones activas a un mismo dispositivo. Es decir, tanto la víctima como el atacante pueden estar conectados a la vez, sin que el primero lo sepa. 

Este proyecto presentado en la RootedCON se ha llevado a cabo empleando BSAM (Bluetooth Security Assessment Methodology), una metodología desarrollada por Tarlogic, que permite realizar auditorias de seguridad integrales para detectar debilidades y vulnerabilidades en dispositivos que emplean conexiones bluetooth. 

Los investigadores han utilizado 36 controles de seguridad de BSAM para encontrar vulnerabilidades que permiten robar información crítica, acceder a secretos profesionales, escuchar y grabar conversaciones privadas o incluso realizar ataques contra empresas y ciudadanos.