Investigadores de UC San Diego desarrollan una innovadora actualización de firmware para ocultar las huellas dactilares de Bluetooth y mejorar la privacidad del dispositivo

Investigadores de UC San Diego han sido pioneros en una actualización de firmware que oculta efectivamente la huella digital Bluetooth de un dispositivo, eliminando una importante vulnerabilidad de seguimiento y allanando el camino para una mayor privacidad en la tecnología móvil.

Un desarrollo innovador realizado por un equipo de investigadores de la Universidad de California en San Diego promete mejorar significativamente la privacidad del usuario al abordar una vulnerabilidad en las señales Bluetooth de los dispositivos móviles. Esta vulnerabilidad, que permitía rastrear dispositivos a través de sus huellas dactilares Bluetooth únicas, se ha mitigado eficazmente con una simple actualización de firmware.

El descubrimiento y la solución

La vulnerabilidad fue identificada por primera vez por el mismo equipo de investigación de UC San Diego, dirigido por los profesores Aaron Schulman y Dinesh Bharadia. Su hallazgos iniciales, presentado en la conferencia IEEE Security & Privacy de 2022, reveló que cada dispositivo móvil emite señales Bluetooth con distorsiones únicas, o huellas dactilares, debido a pequeñas imperfecciones del hardware. Estas huellas dactilares, un subproducto no deseado del proceso de fabricación, hicieron posible rastrear dispositivos individuales.

Para contrarrestar esto, los investigadores desarrollaron un método que implica múltiples capas de aleatorización. Esta técnica puede compararse con el uso de varias capas de lentes de contacto para cambiar continuamente el color de ojos de una persona, haciendo casi imposible determinar el color original. El a medida se presentó en la conferencia IEEE Security & Privacy de 2024, lo que demuestra que incluso los atacantes más sofisticados, como las entidades de los estados nacionales, no podrían rastrear dispositivos con la nueva actualización de firmware.

Implementación y pruebas

El equipo de UC San Diego implementó un prototipo de esta nueva defensa en el chipset CC2640 de Texas Instruments, que se usa comúnmente en dispositivos inteligentes como rastreadores de actividad física y sistemas de iluminación. Los resultados fueron impresionantes. Sus pruebas demostraron que un adversario necesitaría observar continuamente un dispositivo durante más de diez días para alcanzar el mismo nivel de precisión de seguimiento que antes se podía lograr en un minuto.

"Esto significa que las huellas dactilares ya no son útiles para que el atacante infiera la identidad del dispositivo, y el atacante óptimo apenas puede hacer algo mejor que una suposición aleatoria", dijo Bharadia en un comunicado de prensa. "No puedes rastrear la huella digital del teléfono incluso si estás sentado junto a él, porque tanto las identidades MAC como PHY siguen cambiando".

Perspectivas de futuro

Los investigadores ahora están buscando socios industriales para integrar esta tecnología en conjuntos de chips Bluetooth ampliamente utilizados.

“Esta defensa se puede implementar de forma incremental, requiriendo sólo la modificación del software en al menos un chipset Bluetooth Low Energy ampliamente utilizado. Pero para implementar esta defensa ampliamente, necesitamos asociarnos con los fabricantes de chips Bluetooth”, dijo en el comunicado de prensa Hadi Givehchian, primer autor del artículo y estudiante de doctorado en el Departamento de Ciencias de la Computación e Ingeniería de UC San Diego.

Además, el equipo cree que su método también podría adaptarse para ofuscar las huellas digitales de WiFi, ampliando aún más los beneficios de privacidad.

Conclusión

Este desarrollo es un importante paso adelante en la protección de la privacidad del usuario en un mundo cada vez más conectado. Al abordar las vulnerabilidades inherentes a Bluetooth y potencialmente a las huellas digitales WiFi, el equipo de UC San Diego está allanando el camino para un uso más seguro y privado de dispositivos móviles.

El equipo de UC San Diego estuvo compuesto por investigadores del Departamento de Ingeniería y Ciencias de la Computación y del Departamento de Ingeniería Eléctrica e Informática.