Recientemente, en la conferencia RootedCON 2025, un equipo de investigadores de Tarlogic Security ha desvelado una amenaza potencialmente devastadora para la seguridad cibernética global. Se trata de una vulnerabilidad en el chip ESP32, un microcontrolador integral en el ecosistema de dispositivos del Internet de las Cosas (IoT), presente en más de 1.000 millones de dispositivos en todo el mundo. Este chip, fabricado por Espressif, podría ser explotado para realizar ataques de suplantación de identidad, acceso no autorizado a datos y comprometer la seguridad de los dispositivos que se encuentran conectados a la misma red.
Miguel Tarascó Acuña y Antonio Vázquez Blanco, los especialistas a cargo del descubrimiento, identificaron un conjunto de 29 comandos no documentados en el firmware del ESP32. Estos comandos permiten manipular la memoria RAM y Flash del dispositivo, falsificar direcciones MAC e inyectar paquetes de bajo nivel en las comunicaciones Bluetooth. De este modo, los atacantes pueden controlar remotamente los chips, facilitando ataques avanzados y extendiendo su influencia sobre otros dispositivos interconectados.
El chip ESP32, apreciado por su conectividad WiFi y Bluetooth, es un componente habitual en una amplia gama de aparatos, desde electrodomésticos hasta equipos médicos y sistemas de seguridad. La explotación de tales irregularidades en su firmware no solo comprometería el dispositivo en el que están instalados, sino también toda la red a la que esté conectada.
El descubrimiento de esta puerta trasera fue posible gracias al desarrollo de un driver USB Bluetooth HCI en C por Tarlogic Security. Esta herramienta permitió a los investigadores un acceso sin precedentes al tráfico Bluetooth. Con ello, lograron interceptar comandos de bajo nivel, categorizados bajo el Opcode 0x3F, asegurando un control completo sobre las funciones inalámbricas del chip, lo que plantea importantes interrogantes sobre la implementación original de este firmware por parte de Espressif.
El impacto potencial de esta vulnerabilidad es variado y grave, con escenarios de explotación remota, persistencia en sistemas IoT post-reinicio, ataques en la cadena de suministro, y el comprometimiento de redes enteras a través del ESP32 sugiere un horizonte de amenazas múltiples para la ciberseguridad global.
Ante esta realidad, se han propuesto diversas medidas de mitigación mientras se espera una respuesta oficial de Espressif. Estas incluyen la actualización del firmware del ESP32, la restricción del acceso físico a dispositivos afectados, la monitorización del tráfico Bluetooth y WiFi, y evitar el uso del ESP32 en entornos críticos hasta que se garantice su seguridad.
Espressif, por ahora, no ha emitido un comunicado oficial sobre este descubrimiento, aunque existe la expectativa de que la compañía tomará medidas para parchear esta vulnerabilidad crítica y proporcionará una documentación más detallada sobre sus microcontroladores.
Este hallazgo subraya la imperiosa necesidad de realizar auditorías de seguridad constantes en dispositivos IoT, especialmente aquellos desplegados en entornos críticos como el sanitario, industrial y de seguridad doméstica. La dependencia de hardware con posibles vulnerabilidades invisibles amenaza con representar un riesgo significativo para millones de usuarios y sistemas en todo el mundo. La comunidad de ciberseguridad aguarda respuestas y acciones contundentes para mitigar las posibles consecuencias de esta brecha de seguridad.
