El mundo de antivirus

miércoles, 17 de junio de 2026

Entre los usuarios de dispositivos móviles siguen muy presentes algunos mitos heredados de hace veinte años, cuando las tecnologías inalámbricas de transmisión de datos apenas empezaban a desarrollarse. Un hito importante en la historia de la ciberseguridad fue Cabir, el primer gusano de red documentado para Symbian OS que utilizó Bluetooth como medio de propagación. Y aunque aquel gusano no era más que una prueba relativamente inofensiva de que la infección era posible y agotaba rápidamente la batería del dispositivo, la idea de que el malware podía transmitirse de forma oculta por el aire quedó profundamente grabada en la mente de los usuarios.

Hoy en día, cuando los expertos en ciberseguridad recomiendan desactivar el Bluetooth en lugares concurridos, cualquier usuario con cierto criterio acaba haciéndose una pregunta inevitable: ¿hasta qué punto son reales estos riesgos en el contexto actual?

Desde un punto de vista puramente práctico, la probabilidad de infectarse automáticamente con malware tradicional a través de un módulo Bluetooth activado hoy día es prácticamente nula. Los sistemas operativos móviles modernos han experimentado una enorme evolución en materia de aislamiento de procesos y control de permisos. Sin embargo, considerar esta interfaz inalámbrica como completamente segura sería un error. Lo que ha cambiado es la propia naturaleza de las amenazas: los virus tipo gusano, mucho más rudimentarios, han dado paso a ataques dirigidos y sofisticados que explotan vulnerabilidades en las pilas de software de los sistemas operativos, además de técnicas de phishing y métodos de seguimiento con fines comerciales.

En esta edición de «El Mundo de Antivirus» analizaremos cómo funciona la seguridad de Bluetooth a nivel de la arquitectura del sistema operativo, por qué una vulnerabilidad en un protocolo criptográfico puede convertir tu smartphone en el teclado de otra persona y dónde está el límite entre una higiene digital razonable y la paranoia.

Breve explicación de cómo funciona Bluetooth

Para que las amenazas y vulnerabilidades de las que hemos hablado no se queden en conceptos abstractos, conviene repasar brevemente los principios básicos de funcionamiento de esta tecnología. Bluetooth es un protocolo de comunicación inalámbrica de corto alcance (normalmente entre 10 y 100 metros) que opera en la banda de frecuencias no licenciada de 2,4 GHz. A diferencia de Wi-Fi, diseñado desde sus orígenes para crear redes locales convencionales y facilitar el acceso a Internet, Bluetooth nació como un estándar para la creación de redes personales inalámbricas (en inglés WPAN, Wireless Personal Area Network). Su principal función es conectar dispositivos directamente entre sí mediante enlaces punto a punto o dentro de pequeñas microrredes de servicio, en las que un dispositivo actúa como principal y los demás como subordinados.

A nivel de software, la arquitectura de Bluetooth se basa en una compleja pila de protocolos de múltiples capas. En el nivel más bajo, el controlador del chip se encarga de administrar la señal de radio y el escaneo del entorno inalámbrico. Por encima de este nivel operan los protocolos criptográficos, responsables de la autenticación, el cifrado del tráfico y el emparejamiento de dispositivos. Más arriba están los llamados perfiles: conjuntos estandarizados de instrucciones que indican al sistema operativo qué tipo de conexión Bluetooth debe utilizar en cada caso. Por ejemplo, el perfil A2DP se encarga de la transmisión de audio estéreo; HID, de la conexión de dispositivos de entrada inalámbricos; y GATT se ha convertido en el estándar para el intercambio de datos en redes BLE (Bluetooth Low Energy). Es justo a través de las instrucciones GATT como el sistema operativo recibe la telemetría de distintos sensores o, por ejemplo, de los relojes inteligentes.

Debido a la propia naturaleza de las redes personales, Bluetooth carece del sistema clásico de enrutamiento de paquetes que resulta imprescindible en TCP/IP y, en particular, en Wi-Fi. Por ejemplo, no es posible enviar un archivo malicioso de forma masiva a una red Bluetooth utilizando direcciones IP, como sí podría hacerse en una red local convencional. En una WPAN, el atacante debe localizar primero la señal de radio de un dispositivo concreto y establecer con él un canal de comunicación directo e individual, lo que además exige encontrarse físicamente cerca de la víctima.

Y es precisamente en esta estructura multicapa donde reside uno de los principales retos de seguridad. La pila Bluetooth es tan extensa y está tan condicionada por años de compromisos arquitectónicos destinados a mantener la compatibilidad con versiones anteriores, que su implementación en los sistemas operativos contiene millones de líneas de código. Y, como bien sabemos, allí donde la lógica se vuelve compleja y difícil de gestionar, inevitablemente surgen errores de programación.

El escudo arquitectónico: cómo nos protegen los sistemas operativos frente a las amenazas fundamentales

Los smartphones actuales ya no se infectan por Bluetooth con la misma facilidad que los dispositivos de hace dos décadas. Todo esto se debe al enorme salto tecnológico que separa a Symbian OS de 2004 de los actuales Android y iOS de 2026.

En la época de Symbian, la seguridad se basaba en gran medida en la confianza: las aplicaciones tenían acceso directo al sistema de archivos y a los recursos de hardware, mientras que los mecanismos de separación de privilegios en las plataformas móviles apenas comenzaban a desarrollarse. Un archivo recibido por vía inalámbrica podía llegar a ejecutarse en el sistema prácticamente sin obstáculos. Hoy, en cambio, Android y iOS cuentan con una defensa escalonada frente a cualquier flujo de datos inalámbrico, sustentada en tres barreras principales.

1. El uso de sandboxes. Aislamiento estricto de la pila de software

En los sistemas operativos modernos, el proceso encargado de administrar Bluetooth está completamente aislado de la capa de aplicaciones, donde se ejecuta la mayor parte del software de usuario. La pila Bluetooth funciona dentro de su propio entorno aislado y con los privilegios mínimos imprescindibles. Incluso si un atacante lograra transferir a la fuerza un archivo malicioso al dispositivo, este acabaría en un directorio aislado del sistema de archivos. No dispone de medios técnicos para salir de ahí por sí solo, sobrescribir bibliotecas del sistema o configurarse para ejecutarse automáticamente al iniciar el dispositivo.

2. Eliminación de los mecanismos de ejecución automática

A diferencia de los antiguos sistemas operativos de escritorio, que contaban con funciones como Autorun para dispositivos extraíbles, las plataformas móviles no ejecutan código automáticamente al recibirlo. Para que un supuesto troyano llegue a funcionar es imprescindible una intervención explícita y prolongada por parte del usuario. En Android, por ejemplo, sería necesario completar una larga cadena de acciones conscientes: aceptar la recepción de un paquete procedente de un desconocido, localizarlo en las descargas, iniciar la instalación desde un archivo APK, desactivar manualmente el bloqueo de instalación desde fuentes desconocidas y conceder uno a uno los permisos críticos solicitados por la aplicación. Sin todo ello, el archivo no dejará de ser un conjunto inerte de datos almacenado en el dispositivo.

En iOS las restricciones son aún mayores. La arquitectura de Apple excluye, por diseño, la instalación de software a partir de archivos arbitrarios. Cualquier dato recibido, por ejemplo, mediante AirDrop — que utiliza Bluetooth para detectar dispositivos cercanos —, queda estrictamente aislado dentro de las aplicaciones correspondientes (las imágenes en la galería, los documentos en «Archivos», etc.), sin posibilidad alguna de ejecutarse por sí solo ni de obtener privilegios del sistema.

3. Mecanismos de protección de memoria a bajo nivel

La capa encargada de la criptografía y del procesamiento de paquetes Bluetooth en los núcleos modernos de los sistemas operativos está protegida también a nivel de memoria. Tecnologías como ASLR (aleatorización del espacio de direcciones) reubican constantemente funciones críticas en la memoria RAM, impidiendo que un atacante pueda predecir sus direcciones para explotarlas. Por su parte, DEP/NX (prevención de ejecución de datos) garantiza que cualquier código recibido a través de un canal inalámbrico y almacenado en memoria no pueda ejecutarse como si fuera un programa.

Por todo ello, las infecciones masivas de smartphones «por el aire», tal y como se concebían antiguamente, carecen hoy de sentido tanto desde el punto de vista técnico como económico. Para superar este escudo arquitectónico y conseguir que un dispositivo ejecute código de forma invisible y sin intervención del usuario, lo que se conoce como un ataque Zero-Click, los atacantes necesitan encadenar vulnerabilidades RCE extremadamente complejas. Esa cadena debe incluir simultáneamente un fallo que permita eludir los mecanismos de autorización de Bluetooth, una vulnerabilidad de desbordamiento de búfer en el núcleo del sistema para sortear ASLR y DEP, y un exploit capaz de escapar del entorno aislado y elevar privilegios hasta el nivel de superusuario.

En el mercado negro de exploits, los mecanismos Zero-Click plenamente funcionales para las versiones más recientes de Android y iOS alcanzan precios de millones de dólares. Invertir recursos tan costosos en campañas masivas dirigidas a usuarios corrientes para robar datos bancarios resulta poco rentable. Este tipo de herramientas suelen ser desarrolladas por intermediarios especializados en ciberarmas, grupos APT o servicios de inteligencia estatales, y se reservan casi exclusivamente para operaciones de espionaje altamente selectivas y con grandes presupuestos.

Anatomía de las amenazas: del marketing a los grupos APT

Si hoy en día la infección automática de un smartphone mediante malware a través de Bluetooth es muy poco probable, ¿por qué los expertos en seguridad de la información siguen recomendando desactivar este módulo inalámbrico en lugares concurridos? La respuesta es sencilla: la desaparición de los virus y gusanos clásicos no significa que hayan desaparecido otros vectores de amenaza, como los que veremos a continuación.

1. Seguimiento por radio con fines comerciales (recopilación pasiva de datos)

El problema más habitual de mantener Bluetooth activado no es el pirateo informático, sino la pérdida de privacidad, muchas veces imperceptible para el usuario. El módulo Bluetooth del smartphone emite periódicamente paquetes de difusión que contienen identificadores únicos del dispositivo, como su dirección MAC. Aunque las versiones actuales de Android y iOS utilizan mecanismos de aleatorización de estas direcciones, las empresas de marketing han encontrado formas de esquivar esta protección.

En centros comerciales, estaciones de transporte y aeropuertos se despliegan redes de balizas Bluetooth. Al analizar simultáneamente la intensidad de la señal emitida por un teléfono desde varios receptores, los comercios y agencias de marketing pueden seguir los desplazamientos de una persona con una precisión de hasta un metro, registrar cuánto tiempo permanece frente a determinados escaparates y cruzar esa información con su perfil digital para mostrar publicidad altamente segmentada.

2. Spam mediante BLE y actos de sabotaje

El reducido alcance de Bluetooth y las características de su arquitectura dificultan las infecciones masivas, pero los atacantes siempre buscan formas legítimas y accesibles de causar molestias o alteraciones. Uno de los vectores más comunes aprovecha precisamente la tecnología BLE, que se ha convertido de facto en el estándar para la comunicación entre smartphones y dispositivos inteligentes.

Este tipo de ataque explota los mecanismos de emparejamiento rápido integrados en todos los sistemas operativos móviles modernos. Situado a una distancia de entre 10 y 20 metros, un atacante puede lanzar una transmisión continua de solicitudes de conexión utilizando paquetes de difusión estándar. Estas solicitudes serán recibidas por todos los dispositivos cercanos configurados para aceptar ese tipo de mensajes.

Cuando el bombardeo es suficientemente agresivo, el canal de radio de 2,4 GHz en esa zona concreta acaba saturado de tráfico inútil. Como consecuencia, no solo empiezan a aparecer ventanas emergentes de solicitud de conexión en los dispositivos cercanos, sino que también pueden producirse cortes en auriculares inalámbricos, desconexiones de relojes inteligentes y ralentizaciones en la transmisión de datos, ya que los paquetes legítimos quedan sepultados bajo el flujo generado por el atacante.

3. Ingeniería social y phishing

La experiencia demuestra que los ciberdelincuentes suelen confiar más en el factor humano que en las vulnerabilidades técnicas. El mecanismo de emparejamiento rápido descrito anteriormente puede utilizarse para generar notificaciones falsas de conexión Bluetooth.

Por ejemplo, en un lugar público, la víctima puede recibir de repente una ventana del sistema que le propone aceptar un archivo mediante Bluetooth o AirDrop. El atacante se aprovecha de la distracción, la prisa o la presión psicológica. Para aumentar sus probabilidades de éxito, suele camuflar el nombre del dispositivo emisor haciéndolo pasar por un elemento legítimo de la infraestructura o por un servicio conocido, con nombres como «System_Update_2026», «Airport_Free_Wi-Fi_Config» o incluso el de un establecimiento popular.

Un usuario confiado o apresurado podría aceptar la solicitud sin pensarlo demasiado. Evidentemente, el archivo recibido no se ejecutará automáticamente ni en Android ni, mucho menos, en iOS. Sin embargo, si mediante una campaña de phishing bien diseñada el atacante consigue convencer a la víctima para que abra la carpeta de descargas, ejecute la instalación de un APK disfrazado de documento y le conceda permisos del sistema, será el propio usuario quien desactive las barreras de seguridad del sistema operativo.

4. Vulnerabilidades de bajo nivel del tipo Zero-Click

Este tipo de ataques no forma parte de las amenazas habituales para un usuario corriente, ya que su desarrollo y adquisición cuestan millones de dólares. Sin embargo, se trata de un vector técnicamente real y, probablemente, el más peligroso en escenarios de ciberespionaje dirigido.

Un ejemplo histórico fue el conjunto de vulnerabilidades conocido como BlueBorne. Estos fallos en el procesamiento de paquetes durante la fase de inicialización de la conexión permitían a un atacante ejecutar código sin necesidad de que el usuario realizara ninguna acción ni aceptara ninguna solicitud.

En este caso, las protecciones basadas en entornos aislados a nivel de aplicación resultan insuficientes desde el primer momento, ya que la intrusión se produce dentro del propio servicio del sistema encargado de gestionar la pila Bluetooth y procesar la señal de radio antes incluso del emparejamiento de dispositivos.

No obstante, una vez dentro de ese entorno aislado, el atacante sigue encontrándose limitado. Para acceder a los recursos críticos del sistema operativo necesita además un mecanismo de «escape» basado en una vulnerabilidad de elevación de privilegios en el núcleo del sistema. Y precisamente por la necesidad de desarrollar y mantener una cadena de exploits tan compleja este tipo de ataques está fuera del alcance de la inmensa mayoría de los ciberdelincuentes.

Los riesgos de los dispositivos periféricos vulnerables

Si los sistemas operativos de los smartphones modernos están protegidos por una auténtica coraza de entornos aislados y mecanismos de control de memoria a bajo nivel en realidad muchos dispositivos inalámbricos que los rodean son un auténtico desastre desde el punto de vista de la seguridad informática. Los fabricantes de gadgets económicos sin marca — desde auriculares inalámbricos y relojes inteligentes hasta juguetes infantiles o cerraduras «inteligentes» — recortan costes en todo lo posible. Y la seguridad suele ser la primera víctima de esos recortes.

La mayoría de estos dispositivos utilizan versiones antiguas de los protocolos Bluetooth (como BLE 4.0 o 4.2), que admiten modos simplificados de emparejamiento. En estos casos, ni siquiera existe un código PIN o un cifrado efectivo de las comunicaciones. Los datos de servicio se transmiten en texto plano y la ausencia de mecanismos de actualización inalámbrica del firmware hace que cualquier vulnerabilidad presente de fábrica permanezca sin corregirse durante toda la vida útil del dispositivo.

Cabe destacar que el escenario en el que un atacante compromete un altavoz Bluetooth económico y, a través de él, accede al núcleo del smartphone para robar contraseñas bancarias es, en la práctica, muy poco probable. Para lograrlo sería necesaria una cadena de vulnerabilidades de día cero demasiado compleja y costosa. Sin embargo, los dispositivos periféricos vulnerables sí generan otros riesgos muy reales.

Por ejemplo, debido a la ausencia de mecanismos de autenticación mutua, un atacante que esté al alcance de la señal puede conectarse por la fuerza a unos auriculares o a un altavoz vulnerables, especialmente si están en modo de espera. No podrá espiarte discretamente durante horas, ya que el reducido alcance de Bluetooth y la propia naturaleza del ataque acabarían delatándolo rápidamente: los auriculares se desconectarían de tu smartphone. Sin embargo, sí podría secuestrar el flujo de audio, silenciar el sonido que estás escuchando, reproducir sus propias grabaciones en los auriculares o utilizar los altavoces para realizar ataques acústicos con fines de sabotaje o simple gamberrismo.

Asimismo, muchas cerraduras Bluetooth de bajo coste para taquillas, bicicletas o puertas presentan fallos críticos en sus mecanismos de autorización. Mediante la captura de paquetes de radio transmitidos sin protección o a través de ataques de repetición, un atacante puede abrir este tipo de cerraduras en poco tiempo y sin que el propietario llegue siquiera a darse cuenta.

Otro punto muy vulnerable dentro de la arquitectura BLE son los numerosos dispositivos inteligentes y sensores de bajo coste. En este ámbito, los posibles escenarios de ataque dependen en gran medida de la imaginación de los atacantes y de la función concreta de cada dispositivo. No obstante, todos ellos comparten un problema fundamental: la transmisión de datos sin cifrado o con mecanismos de protección claramente insuficientes.

Un ejemplo ilustrativo son los sistemas de monitorización de presión de neumáticos (TPMS). Incluso cuando los sensores instalados en las ruedas no se comunican directamente con la unidad Android del vehículo, sino a través de un receptor USB intermedio, el canal de radio entre el sensor y el receptor suele permanecer desprotegido. Estos dispositivos transmiten periódicamente sus direcciones MAC y los datos de presión en texto claro.

Desde un punto de vista técnico, esto abre la puerta a la interceptación de las comunicaciones y al envío de paquetes falsificados con datos manipulados hacia el receptor. Ahora bien, siendo realistas, la probabilidad de sufrir un pinchazo en la carretera es bastante mayor que la de convertirse en víctima de un ataque tan sofisticado lanzado desde el vehículo que circula a tu lado.

Conclusiones

Como demuestra el análisis técnico, la cultura popular suele exagerar la magnitud real de esta amenaza. Bluetooth, como tecnología inalámbrica, no funciona de manera autónoma: tanto la transmisión de datos como los algoritmos de funcionamiento están estrictamente controlados por los sistemas operativos modernos. La probabilidad de que un desconocido en el metro consiga hackear tu smartphone para robar información o instalar un «virus» es, en la práctica, prácticamente nula.

Eso no significa que debamos bajar la guardia. Conviene tener presentes los riesgos y técnicas de fraude descritos anteriormente, especialmente los relacionados con el phishing, donde Bluetooth no es más que otro canal utilizado para engañar a la víctima. Al final, la seguridad siempre consiste en encontrar un equilibrio entre comodidad y control, y mantener ese equilibrio pasa por aplicar unas sencillas normas de higiene digital.