A qué te expones si usas Radar COVID

Se habla mucho estos días de Radar COVID, la aplicación móvil (app) de rastreo que el Gobierno de España pondrá a disposición de la ciudadanía de manera inminente para tratar de controlar los rebrotes de coronavirus. Más allá del humo que se ha vendido con este tipo de aplicaciones –ya referido en este espacio- y de que en absolutamente ningún país en los que se ha puesto en marcha el porcentaje de uso siquiera se ha acercado a niveles aceptables para explotar su potencial, conviene que las personas usuarias tengan presentes ciertas precauciones antes de utilizarla.

La primera consideración que habría que hacerse y que se está obviando es que para que funcione la aplicación el bluetooth del teléfono móvil ha de estar continuamente conectado... algo que cualquier experto en seguridad desaconseja si no queremos que la superficie de ataque de que disfrutan los maleantes crezca exponencialmente. El propio Instituto Nacional de Ciberseguridad (INCIBE) ha documentado extensamente estos riesgos.

La versión 5.1 de Bluetooth ha mejorado considerablemente la seguridad respecto a las versiones anteriores. Atrás ha quedado la primera versión en la que los dispositivos se emparejaban sin necesidad de verificación del propietario o, incluso, la versión 3 en la que ya se empleaban códigos de seguridad. La versión 4 supuso un salto cualitativo, con protocolos de autenticación más fuertes y complejos y la 5 lo ha superado.

Sin embargo, aún tenemos en el recuerdo la alerta de seguridad de hace tan sólo un año, en la que se hablaba de "una seria amenaza para la seguridad y privacidad de todos los usuarios de Bluetooth". Esta vulnerabilidad fue descubierta por investigadores del Center for IT-Security, Privacy and Accountability (CISPA), divulgándose después de manera coordinada por fabricantes y proveedores como Microsoft, Apple, Intel, Cisco y Amazon, entre otros. Esta falla de seguridad, que afectaba desde la versión 1.0 a la 5.1, permitía al atacante interferir con el proceso de cifrado de la conexión, robando la clave de cifrado y accediendo al tráfico de datos entre los dispositivos.

Este es el motivo por el que los expertos en seguridad recomiendan tener el Bluetooth conectado el tiempo imprescindible para su uso como, por ejemplo, para escuchar música con auriculares inalámbricos o hacer uso del kit de manos libres del coche. Es importante recordar que mediante el uso de antenas direccionales de alta ganancia, los criminales podrían, incluso, escuchar conversaciones entre dispositivos.

Entre las recomendaciones básicas, además de no tener conectado el bluetooth todo el tiempo, es importante cambiar el código PIN predeterminado y, muy especialmente, tener descargada la última actualización de la tecnología; asimismo, prohibir la conexión a los dispositivos que usen Bluetooth 1.x, 2.0 o 4.0-LE tampoco está de más.

De lo contrario, nos enfrentamos a serios riesgos. Y, uno de ‘esos contrarios’, es el uso de Radar COVID, que obliga a tener Bluetooth conectado todo el tiempo. ¿A qué nos exponemos exactamente? Encabezando la lista nos encontramos con el bluesnarfing, es decir, la capacidad del criminal de conectarse a nuestro dispositivo sin que lo sepamos, robando o comprometiendo la información que tenemos en nuestro teléfono móvil.

A este ataque se suma el de la posibilidad de escuchas a escondidas, sobre todo en las versiones 2 a 4, en las que el delincuente puede engañarnos nombrándose como un dispositivo en el que confiamos pero variando una letra, lo que a simple vista podría pasarnos inadvertido. Nunca ignoren los errores ortográficos de los dispositivos que se quieren conectar con usted. Otros riesgos son la descarga de virus y malware en general o la denegación de determinados servicios, impidiendo acceder a aplicaciones de mensajería o, incluso, agotando la batería.

¿Compensa el riesgo y, sobre todo, compensa considerando que las Administraciones no están haciendo el esfuerzo de disponer de suficientes rastreadores que son mucho más efectivos e importantes que estas apps?  Algo me dice que quien más ganará con esta app es Indra, la adjudicataria de su desarrollo por el que se ha embolsado más de 330.000 euros, sin que el Gobierno haya ofrecido la debida transparencia en su portal de contratación. Un despropósito.

Next Post Previous Post

Sin comentarios