Imagine un día laborable cualquiera: vas a por un café, el portátil en la mochila, el teléfono en el bolsillo, los auriculares suenan de fondo. En el recinto hay decenas de «balizas» aéreas invisibles: indican a la aplicación dónde te encuentras, activan un cupón en la aplicación de marketing, realizan análisis de tráfico. Y todo esto —por la confianza en el protocolo radioeléctrico— que se diseñó para ahorrar batería y para el intercambio rápido de paquetes cortos. En ese entorno la tentación de «jugar» con el espectro es grande: basta con un miniordenador, un dongle económico y una tarde libre. Sin alarmismos, expliquemos con claridad cómo funcionan las balizas BLE y qué trucos pueden llevarse a cabo en una oficina o cafetería si alguien decide hacer trastadas.
Qué son las balizas BLE y por qué están en todas partes
Una baliza BLE es un dispositivo pequeño que periódicamente difunde por el aire paquetes publicitarios de Bluetooth Low Energy. Esos paquetes contienen un identificador del espacio (por ejemplo, de una empresa) y de un punto concreto. La aplicación, al reconocer un identificador conocido, puede mostrar una sugerencia, registrar la visita a la zona o enviar una notificación. De fábrica la baliza no «habla» con el usuario: simplemente anuncia su existencia y espera a que alguien cercano lo detecte.
Existen varios formatos estandarizados. Los más conocidos son iBeacon, Eddystone y AltBeacon. Se diferencian en la estructura del paquete publicitario y en el propósito de los campos. El esquema clásico es un identificador estático del espacio y un número de punto. En marketing eso suele ser suficiente: la aplicación asocia el ID con la base de datos y realiza la acción correspondiente. Para la analítica de tráfico en retail se puede usar una red de muchas balizas para estimar los desplazamientos de los visitantes.
En la documentación técnica, Bluetooth Low Energy define los roles de los dispositivos y los formatos de los paquetes, pero no impone criptografía para los anuncios tipo baliza. De ahí surge una característica clave: los marcos publicitarios suelen poder leerse y suplantarse por cualquiera que esté en alcance radioeléctrico. Los fabricantes añaden protecciones adicionales, pero eso depende de la buena voluntad de cada ecosistema, no de un requisito estricto.
También es importante comprender la física del proceso. BLE opera en la banda de 2,4 GHz, divide el espectro en canales y envía porciones cortas de datos con la frecuencia que configura el administrador de la baliza. Cuanto menos frecuentes son los anuncios, más dura la batería; cuanto más frecuentes, más rápido reacciona la aplicación y más visible es el dispositivo en el aire. En un espacio real la señal se refleja y se atenúa por personas y objetos, de modo que el «radar» del teléfono ofrece una imagen inexacta y la localización por nivel de señal siempre es aproximada.
| Formato | Qué contiene | Protección del identificador | Escenarios típicos |
|---|---|---|---|
| iBeacon | UUID del espacio, Major, Minor | Normalmente ID estático | Navegación en interiores, disparadores en aplicaciones |
| Eddystone-UID/EID/TLM | UID (permanente) o EID (variable), telemetría | EID puede cambiar periódicamente | Analítica, localización de puntos de interés, monitorización |
| AltBeacon | Identificador arbitrario de 20 bytes | Depende de la implementación | Soluciones abiertas, proyectos personalizados |
Si hablamos de grandes ecosistemas, los teléfonos llevan tiempo capaces de ver no solo las balizas «clásicas». En segundo plano funcionan servicios de localización, búsqueda de objetos perdidos y múltiples frameworks para desarrolladores. La documentación del núcleo de Bluetooth está disponible en Bluetooth SIG, y los detalles de las API están en Apple y Android.
Dónde están las debilidades: de la observación a la intervención
Los paquetes publicitarios BLE se envían sin cifrado ni verificación de autenticidad obligatorios. Cualquier receptor a decenas de metros puede recopilar esos paquetes silenciosamente y registrar qué identificadores aparecen y cuándo. En la práctica eso ya basta para saber dónde aparece con más frecuencia un teléfono con Bluetooth activado, por qué rutas se desplazan las personas y en qué horas hay picos de actividad. En una oficina esa recopilación ofrece una imagen bastante precisa del horario y de las rutinas de departamentos concretos.
Si la baliza tiene un identificador permanente, es fácil suplantarla. Basta retransmitir el mismo paquete con mayor potencia o con más frecuencia: la aplicación asumirá que el usuario se ha acercado al punto. Así se engañan escenarios dependientes de la ubicación: desde mostrar una página interna hasta iniciar una autenticación simplificada en una zona de acceso restringido, si en su momento se asoció «la proximidad» a una única baliza sin comprobaciones adicionales.
El esquema de retransmisión (relay) traslada paquetes de un punto a otro casi en tiempo real. El sistema «ve» la baliza de una sala de reuniones en la entrada de un café cercano y supone que el usuario está allí mismo. Técnicamente son dos dispositivos —receptor y transmisor— enlazados por un canal. La principal dificultad son las latencias y la estabilidad: por esos parámetros los mecanismos de defensa pueden detectar la manipulación. No obstante, para muchas configuraciones domésticas incluso una implementación básica funciona.
El perfil GATT permite no solo escuchar el aire, sino también establecer una conexión con el dispositivo. Si el administrador dejó características abiertas y las aplicaciones internas confían en esos dispositivos, surge el riesgo de leer parámetros, cambiar configuraciones o usar el gadget como puerta de entrada a la infraestructura. Esto afecta especialmente a sensores y botones de una oficina «inteligente» que están conectados a servicios corporativos a través de pasarelas y que, con una configuración débil, se convierten en puntos de ataque convenientes.
BLE se diseñó inicialmente para ahorrar energía y para intercambios breves, no como un sistema de protección estricto. La seguridad resulta de varios niveles: el propio protocolo, los mecanismos del sistema operativo, la lógica de las aplicaciones y las reglas administrativas. Cuando falla al menos una capa, se abre una ventana aprovechable para abusos.
Práctica de ataques en oficinas y cafeterías: qué se usa realmente
La recopilación pasiva comienza con un portátil y un adaptador barato. Los programas de escaneo muestran qué balizas funcionan en el recinto, con qué frecuencia transmiten paquetes y con qué potencia. En una línea temporal se distinguen las entradas y salidas, los picos de reuniones y la caída en la hora de la comida. En zonas comerciales esos datos permiten identificar fácilmente lugares donde los visitantes se detienen más tiempo: los mismos dispositivos se registran con mayor frecuencia allí.
La suplantación de paquetes publicitarios sirve para acceder a contenidos o servicios «por ubicación». Por ejemplo, si la app de una oficina abre la pantalla de reservas al detectar el iBeacon de una sala, colocar ese mismo identificador junto a un torno de entrada y aumentar la potencia hará que la aplicación muestre información interna a cualquiera que pase por la entrada. Si el código no valida la vigencia, el nivel de señal aceptable o el contexto vecino, los metadatos se filtran por sí solos.
La retransmisión es especialmente peligrosa cuando la «proximidad» desencadena procesos importantes: desbloqueo de una puerta con módulo BLE, marcaje automático del puesto de trabajo o inicio de un servicio corporativo en un portátil. Trasladan el aire de una baliza real al punto deseado y ajustan las latencias para que el sistema no note inconsistencias. Para una demostración bastan dos dispositivos compactos, aunque la explotación estable requiere más ajuste. En muchos escenarios típicos eso es suficiente.
Las pasarelas vulnerables y GATT son otro problema. Algunas pasarelas se conectan automáticamente a sensores conocidos y reenvían sus datos a servicios corporativos. Si quedaron claves por defecto, características abiertas o un modo de configuración simplificado, un atacante puede obtener control: cambiar parámetros, actualizar firmware o extraer tokens sensibles, por ejemplo para el servicio de telemetría en la nube.
La ingeniería social también funciona. En una oficina se dejan llaveros-baliza atractivos con la esperanza de que los empleados los recojan, los añadan a aplicaciones de búsqueda de objetos y concedan permisos de más. Los ecosistemas de búsqueda incluyen protecciones contra el rastreo, pero el factor humano las anula con frecuencia.
Mecánica sin misterios: por qué es posible la suplantación y la retransmisión
Un paquete publicitario es un bloque corto de datos con un formato (por ejemplo, iBeacon o Eddystone) y una parte útil. No existe una firma digital que el cliente verifique rápidamente sin establecer conexión en la versión básica. Por eso un paquete falso bien formado no difiere del auténtico si los campos coinciden. El transmisor construye la plantilla necesaria, ajusta la potencia y la frecuencia: la aplicación «ve» la cercanía de la baliza aunque esté al otro lado de la sala.
En escenarios de retransmisión todo depende del tiempo. Es necesario cumplir los intervalos, de lo contrario el cliente detectará «saltos» en la distancia y activará comportamientos de defensa. Algunas plataformas usan heurísticas: comparan la dinámica de la señal, las balizas cercanas y el contexto temporal. Si el objetivo no es abrir una puerta sino simplemente mostrar sugerencias y contenido de forma estable, incluso un traslado imperfecto de paquetes basta: la aplicación asume que el usuario se ha movido dentro del local.
GATT ofrece la posibilidad de cambiar el estado del dispositivo. Un ejemplo típico es un sensor en una oficina inteligente: responde a la conexión, expone características y a veces permite configuración. Si en la pasarela olvidaron desactivar claves universales o no pusieron los dispositivos en modo protegido, ese sensor se convierte en un punto controlable. A partir de ahí las opciones son evidentes: restablecer a valores de fábrica, cambiar firmware o redirigir el envío de datos a un recurso ajeno.
Incluso sin suplantar paquetes, el aire dice mucho de ti: nombres de dispositivos, densidad de balizas, presencia de periféricos inteligentes. Con eso es suficiente para estimar la planta, las zonas con mayor tráfico e incluso la ubicación de salas de servicio. Si se recopila el aire de forma sistemática durante varios días, el mapa se vuelve detallado.
La situación empeora por la superposición de niveles. BLE y las balizas operan en el nivel del canal radioeléctrico, mientras que el sistema operativo recoge los marcos vistos, infiere ubicaciones y las entrega a las aplicaciones. Si una aplicación pide permisos demasiado amplios, obtiene más información de la necesaria, y sus registros, en caso de compromiso, se convierten en un conjunto listo de datos sobre movimientos y entorno.
Cómo protegerse: configuraciones sensatas y control del entorno
Primero y evidente: minimiza los identificadores estáticos. Si el ecosistema permite etiquetas cambiantes, utilízalas. Los identificadores dinámicos reducen el valor del rastreo pasivo y dificultan la suplantación. En algunos formatos esto se denomina identificadores que cambian periódicamente: la idea es simple: aunque un atacante capture un paquete, mañana ya no será válido.
Segundo: validación contextual en el lado de las aplicaciones. Vincula la reacción no a una sola baliza, sino a un conjunto de señales: la presencia de varios identificadores, un «corredor» de niveles de señal aceptables, la hora del día y el historial de movimiento. No dejes secretos en el código que permitan reconstruir los mismos identificadores. Y definitivamente no tomes decisiones sensibles —como abrir puertas— basándote solo en un paquete publicitario.
Tercero: política de conexiones. Si la infraestructura incluye sensores BLE, ponlos en modo protegido, donde la configuración solo sea posible tras autenticación y las características sin autorización muestren lo mínimo. En las pasarelas prohíbe la conexión automática a dispositivos desconocidos y establece listas blancas. Cualquier clave «universal» puesta por conveniencia acabará filtrándose tarde o temprano.
Cuarto: monitorización del aire. En una oficina donde la seguridad importa, toma periódicamente una «instantánea» del entorno radioeléctrico: qué balizas hay, cómo se comportan y qué niveles de potencia usan. Así detectarás rápidamente dispositivos «extra», picos de actividad inesperados o identificadores nuevos que no estaban ayer. La barrera de entrada es baja: basta un PC con un adaptador compatible y herramientas simples de análisis.
Quinto: trabajo con las personas. Incluye en la incorporación un bloque breve sobre etiquetas inteligentes y permisos en aplicaciones. Explica por qué no conviene conectar llaveros desconocidos, conceder permisos excesivos a apps de marketing o mantener Bluetooth activado sin necesidad. La tendencia humana a repartir permisos sin criterio ofrece a los atacantes más ventajas que cualquier truco radioeléctrico ingenioso.
- Activa identificadores dinámicos cuando sea posible.
- Validación por varios puntos y ventanas temporales, no por un solo paquete.
- Características GATT cerradas y autenticación antes de configurar.
- Auditoría periódica del espectro y inventario de dispositivos.
- Permisos mínimos para las aplicaciones y revisión estricta de los «disparadores geográficos».
