Investigadores de seguridad han descubierto una vulnerabilidad en el popular microchip ESP32, fabricado por la empresa china Espressif, que podría permitir a actores malintencionados comprometer dispositivos conectados a través de Bluetooth. Esta vulnerabilidad, calificada como una «puerta trasera» no documentada, afecta a más de 1.000 millones de dispositivos en todo el mundo, utilizados en el ecosistema de Internet de las Cosas (IoT).
El hallazgo fue realizado por los investigadores españoles Miguel Tarascó Acuña y Antonio Vázquez Blanco, de Tarlogic Security, quienes presentaron sus conclusiones en RootedCON 2025, en Madrid.
¿En qué consiste la vulnerabilidad?
Los investigadores descubrieron que el firmware del ESP32 contiene una serie de comandos ocultos que permiten el acceso de bajo nivel a la memoria y las funciones Bluetooth del chip. En total, se han identificado 29 comandos no documentados, que podrían utilizarse para:
- Leer y modificar la memoria RAM y Flash del dispositivo.
- Suplantar direcciones MAC de dispositivos Bluetooth, permitiendo ataques de impersonación.
- Inyectar paquetes LMP y LLCP, lo que abre la puerta a ataques avanzados en las capas más bajas del protocolo Bluetooth.
Estos comandos, clasificados bajo el identificador Opcode 0x3F, permiten tomar el control total del ESP32, facilitando ataques contra otros dispositivos a través de WiFi y Bluetooth.
Implicaciones y riesgos
La presencia de esta puerta trasera supone un riesgo crítico, ya que el ESP32 se encuentra en dispositivos de uso cotidiano, como:
- Teléfonos móviles y ordenadores.
- Cerraduras inteligentes.
- Equipos médicos.
- Dispositivos industriales y domésticos.
Los investigadores advierten que un atacante con acceso físico al dispositivo podría aprovechar estos comandos para modificar el firmware y establecer persistencia en el chip, lo que permitiría un control remoto a largo plazo. Además, en determinados escenarios, la explotación podría realizarse de forma remota mediante firmware malicioso o conexiones Bluetooth manipuladas.
Una puerta trasera intencional o un error?
Espressif no ha documentado estos comandos en su firmware oficial, lo que plantea varias hipótesis:
- Podría tratarse de una función de depuración interna que no fue eliminada en la versión comercial.
- Podría haber sido introducida deliberadamente como un mecanismo de control para ciertos entornos corporativos o gubernamentales.
- Podría haber sido explotada previamente por atacantes, dado que los dispositivos IoT son objetivos frecuentes de ataques dirigidos.
Herramientas y mitigación
Para investigar esta vulnerabilidad, Tarlogic desarrolló un driver Bluetooth HCI en C, independiente del hardware y compatible con múltiples plataformas. Gracias a esta herramienta, lograron descubrir y documentar los comandos ocultos del ESP32.
En cuanto a la mitigación, los investigadores recomiendan:
- Actualizar el firmware del ESP32 cuando Espressif publique un parche.
- Restringir el acceso físico a los dispositivos IoT.
- Monitorear el tráfico Bluetooth y WiFi en entornos críticos.
- Limitar el uso de ESP32 en dispositivos de alta seguridad, hasta que se corrija la vulnerabilidad.
Conclusión
El descubrimiento de esta puerta trasera en el ESP32 resalta la importancia de la seguridad en el ecosistema IoT. Con más de 1.000 millones de dispositivos afectados, la vulnerabilidad supone un riesgo global que podría facilitar ataques masivos y comprometer la privacidad y seguridad de los usuarios.
Las investigaciones continúan, y la comunidad de seguridad informática espera una respuesta oficial por parte de Espressif para determinar si esta vulnerabilidad fue un error o una implementación deliberada. Mientras tanto, se recomienda a los fabricantes y desarrolladores evaluar los riesgos de seguridad al integrar ESP32 en nuevos productos.
