Por Qué Importa la Seguridad del Módulo Bluetooth
Cuando los ingenieros evalúan un módulo Bluetooth para un nuevo producto, normalmente comparan consumo de energía, alcance y factor de forma. La seguridad suele entrar en la conversación tarde, a menudo después de que el prototipo ya está funcionando. Esto es un problema, porque la arquitectura de seguridad BLE se determina en gran medida en la etapa de selección del módulo y firmware.
Arquitectura de Seguridad BLE
La seguridad BLE opera en la Capa de Enlace y las capas del Host. Los mecanismos principales son:
- Emparejamiento y vinculación: Establece un secreto compartido (LTK) entre dispositivos. Los métodos van desde Just Works (vulnerable a MITM) hasta Passkey Entry (resistente a MITM).
- LE Secure Connections (LESC): Introducido en BLE 4.2, utiliza ECDH en la curva P-256. Proporciona secreto de reenvío y es obligatorio en BLE 5.0+.
- Privacidad / Resolvable Private Addresses (RPA): Los dispositivos rotan periódicamente su dirección MAC para prevenir rastreo.
- Cifrado y firma de atributos: Las características GATT pueden requerir enlace cifrado o escritura firmada.
Brechas de Seguridad Comunes
| Vulnerabilidad | Causa Raíz | Impacto |
|---|---|---|
| Just Works en producción | Código de ejemplo SDK sin modificar | MITM intercepta clave de sesión |
| Características GATT sin cifrar | Flags de permisos faltantes | Cualquier escáner puede leer/escribir |
| Dirección MAC fija | Privacidad/RPA no habilitada | Dispositivo rastreable por observador pasivo |
| Payload OTA en texto claro | OTA personalizado sin cifrado | Firmware extraído o reemplazado |
| PIN hardcodeado | Passkey fijo «000000» | Fuerza bruta en menos de 1 segundo |
Lista de Verificación Práctica
- □ Modo de emparejamiento configurado como LE Secure Connections; Just Works deshabilitado
- □ Todas las características GATT con datos sensibles requieren enlace cifrado
- □ Privacidad/RPA habilitada con intervalo de rotación ≤ 15 minutos
- □ Protección de lectura de flash habilitada en el script de programación de producción
- □ Fuente TRNG confirmada en la configuración del SDK
- □ Payload OTA verificado con firma de firmware antes de aplicar
- □ PIN generado dinámicamente o aprovisionado por dispositivo
- □ Interfaz de depuración bloqueada en unidades de producción
Un módulo Bluetooth que supera esta lista se envía con una postura de seguridad que coincide con el esfuerzo invertido en su rendimiento RF.