Hasta los audífonos por bluetooth son riesgo

Durante una divertida charla con un grupo de muy buenos amigos, discutíamos qué tiene que ver el cumplimiento normativo (Compliance por su signioficado en Inglés) con la Tecnología e Innovación.

Aquí comento un ejemplo, mas como una provocación, pues para la solución al cumplimiento se requiere experiencia en Ciencia, Tecnología e Innovación, CTI; para cualquier consulta no duden en contactarme.

El ejemplo toma unos resultados recientes obtenidos en la Universidad de Purdue, en Estados Unidos de América, y con éste pretendo mostrar riesgos tecnológicos de actos simples y consecuentes a la falta de protocolos de cumplimiento.

Los resultados muestran, mediante protocolos de pruebas de vulnerabilidad, cómo es que los audífonos bluetooth periten acceso a cualquier sistema de dispositivo móvil en Android. Así, procesos maliciosos (malware) pueden ser lanzados a, por ejemplo, un teléfono móvil a través del uso indebido de dispositivos periféricos (bocinas, audífonos, otros teléfonos, entre otros).

Típicamente, un teléfono inteligente trabaja con dos unidades de procesamiento para interconexión: Procesador de la aplicación y el llamado modem celular –aunque su nombre técnico es otro, aquí usaremos este por simplicidad-.

La mayoría de los teléfonos inteligentes usan un comando llamado en inglés “AT Command Interface”; y éste se ejecuta mediante el puerto bluetooth. Es el caso de los audífonos recientemente colocados en el mercado. Este comando es un punto de entrada al modem celular, así que hay vulnerabilidad del teléfono móvil si aplicativos aprovechan o inducen comportamiento anómalo cuando el comando AT se procesa; lo cual podría causar acceso desautorizado.

Una vez que ocurre el acceso desautorizado, el sistema ya es vulnerable y pueden suceder secuestros de información desde el teléfono inteligente o, también, usar el dispositivo para penetrar y vulnerar alguna red donde se halle interconecto a red inalámbrica como la WiFi.

Quizá sea que la infiltración sucedió así, con algún dispositivo móvil, en el caso tan recientemente sonado en PEMEX; eso no está claro, pero es una posibilidad.

Luego, lo anterior se combina con el hecho que las empresas de base tecnológica son una muy interesante actividad productiva en lo que respecta a desarrollo de aplicativos para teléfonos inteligentes; pensemos en juegos, aplicaciones para IoT, petición de alimentos, transporte de personas, servicios bancarios, renta de in muebles, etcétera.

Así una empresa de base tecnológica puede provocar, intencionalmente o no, perjuicio al usuario del teléfono inteligente, pero también al tercero que hubiera facilitado, de buena fe, acceso mediante WiFi o, através de bluetooth, a su celular. El perjuicio puede ocurrir si su aplicación usa los protocolos en el comando de AT Command Interface sin protocolos de seguridad.

También es cierto que, el tercero al dar acceso irrestricto, sin seguridad suficiente, a quienes porten dispositivos móviles.

Pensemos, hipotéticamente pero muy realista, en una empresa que por conectividad de sus empleados da acceso a sus empleados. Pensemos que los empleados usan audífonos bluetooth, pensemos que descarga alguna aplicación de interés para el dueño del teléfono inteligente.

Lo supuesto en el párrafo anterior es un riesgo; se puede concretar en ciber-secuestro, que pueden conllevar incumplimiento con clientes, empleados y proveedores. También puede vulnerar bases de datos donde se hallen datos sensibles. Y mucho mas.

En otras latitudes este tema es digno de discusión con altas autoridades; como en Europa. Desafortunadamente en México, y por ahora, a las autoridades le da flojera charlar del asunto, mucho mas discutir, con enterados, con científicos, lo mismo que con poetas-activistas. Entretanto, hoy pan y circo al explotar uno de los grandes eventos históricos en nuestro país.