- La Guía CCN-STIC 837 puede descargarse del portal del CCN-CERT.
- El principal objetivo de este documento es proporcionar una guía de buenas prácticas que ayude a las organizaciones a mejorar la seguridad de sus implementaciones en Bluetooth.
- Esta tecnología inalámbrica de corto alcance, integrada actualmente en más de 8,2 billones de dispositivos en todo el mundo, debe su éxito a la facilidad en su implementación, su bajo consumo energético y su baja latencia.
La tecnología Bluetooth y los dispositivos que la emplean están expuestos a las mismas amenazas de toda red inalámbrica y además, a amenazas específicas como el eavesdropping (escuchas pasivas de un individuo no autorizado captura el tráfico Bluetooth intercambiado entre dos dispositivos) y los ataques man-in-the-middle (MITM), donde se logra introducir un tercer dispositivo por una persona no autorizada, que retransmite información entre los dos dispositivos legítimos haciéndoles creer que se están comunicando directamente entre ellos.
Siendo Bluetooth una tecnología empleada por más de 8,2 billones de dispositivos, resulta imprescindible tener en cuenta los riesgos adicionales que añaden a los ya existentes en las redes cableadas e implementar las medidas apropiadas que proporcionen seguridad en las comunicaciones que se llevan a cabo a través de esta tecnología. Por este motivo, el Centro Criptológico Nacional, CCN, ha hecho pública su Guía CCN-STIC 837. Seguridad en Bluetooth, con el fin de proporcionar una guía de buenas prácticas que ayude a las organizaciones a mejorar la seguridad de sus implementaciones en esta tecnología y, en concreto, cuando se accede a sistemas, servicios, recursos y se intercambia información propiedad de la organización y bajo el ámbito de aplicación de su política y normativa de Seguridad.
Medidas de seguridad del ENS
Una de las principales secciones de la Guía es la relacionada con las Medidas de Seguridad en Bluetooth en el ámbito del Esquema Nacional de Seguridad (ENS). Se ofrecen las medidas más relevantes aplicables dentro de la organización, así como una propuesta para llevar a cabo su implementación a modo orientativo.
La normativa de seguridad y la gestión de riesgos; la protección de las comunicaciones y los dispositivos Bluetooth (autenticación, configuración de seguridad, gestión de la configuración y registros de actividad); medidas operativas (mantenimiento y auditorías de seguridad), así como medidas aplicables al personal son los distintos epígrafes dentro de este apartado.
Junto a ellos, otros capítulos recogen las características de la tecnología, las principales amenazas que sufre y dos anexos con un resumen de requisitos del uso de Bluetooth en la organización o un ejemplo de configuración en un equipo Windows.
La Guía CCN-STIC 837 está disponible en la parte pública del portal del CCN-CERT.
CCN-CERT [21/02/2018]
