Un sorprendente hallazgo ha sacudido la comunidad tecnológica mundial: un equipo de investigadores ha descubierto una puerta trasera oculta en el chip ESP32, un microcontrolador ampliamente utilizado en dispositivos de Internet de las Cosas (IoT). Presentada recientemente en la conferencia de seguridad RootedCON 2025, esta vulnerabilidad podría potencialmente poner en riesgo más de 1.000 millones de dispositivos en todo el mundo.
El descubrimiento ha sido realizado por los expertos en ciberseguridad Miguel Tarascó Acuña y Antonio Vázquez Blanco de la firma Tarlogic Security. Durante una detallada investigación, identificaron 29 comandos no documentados en el firmware del ESP32. Estos comandos permiten controlar remotamente el chip y posibilitar ataques avanzados de suplantación de identidad y acceso a datos no autorizados.
El microcontrolador ESP32, fabricado por Espressif, es conocido por sus capacidades de conectividad WiFi y Bluetooth y se encuentra en una variedad de dispositivos, desde electrodomésticos inteligentes hasta dispositivos médicos. La vulnerabilidad permite modificar la memoria RAM y Flash, lo que podría facilitar la ejecución de código malicioso; falsificar direcciones MAC, abriendo puertas a ataques de suplantación; e inyectar paquetes de bajo nivel en la comunicación Bluetooth, lo que pone en riesgo la seguridad de las redes.
Utilizando un driver USB Bluetooth HCI desarrollado en C, el equipo de Tarlogic Security logró acceso directo al hardware, lo que les permitió interceptar y analizar tráfico Bluetooth, desenmascarando los comandos no documentados. Estos comandos, agrupados bajo el Opcode 0x3F, otorgan un acceso de bajo nivel al microcontrolador, lo cual no estaba destinado para un uso común y podría haberse incluido por error o como función interna no divulgada.
La amenaza se extiende más allá del dispositivo individual, con potencial de comprometer redes enteras a través de ataques de explotación remota mediante conexiones Bluetooth manipuladas, persistencia en dispositivos incluso tras reinicios, y ataques en la cadena de suministro. Esto subraya la urgencia de adoptar medidas de mitigación, tales como actualizar el firmware tan pronto Espressif ofrezca una solución, restringir acceso físico a dispositivos vulnerables, y evitar el uso del ESP32 en sistemas críticos hasta asegurar su seguridad.
Pese a la magnitud del descubrimiento, Espressif aún no ha emitido un comunicado oficial. La comunidad espera que se tomen medidas que incluyan actualizaciones de seguridad y mejoras en la transparencia de la documentación de estos microcontroladores.
Este hallazgo refleja la importancia fundamental de realizar auditorías de seguridad constantes en dispositivos IoT, especialmente en sectores cruciales como la industria y la salud, donde la dependencia de hardware con posibles vulnerabilidades ocultas representa un considerable riesgo para millones de usuarios en todo el mundo.
