Encontrada una puerta trasera en un chip Bluetooth usado por 1.000 millones de dispositivos

El microchip ESP32, fabricado por la compañía china Espressif y utilizado en más de 1.000 millones de dispositivos IoT hasta 2023, ha sido objeto recientemente de una preocupante revelación. Investigadores de la empresa española Tarlogic Security detectaron comandos no documentados que funcionan como una potencial «puerta trasera».

Los especialistas Miguel Tarascó Acuña y Antonio Vázquez Blanco fueron quienes identificaron estas vulnerabilidades, compartiendo públicamente sus resultados en la conferencia RootedCON, celebrada en Madrid recientemente.

Estos comandos ocultos permiten acciones maliciosas como la suplantación de dispositivos confiables, acceso no autorizado a datos, propagación dentro de redes y la instalación permanente de código malicioso. La existencia de esta puerta trasera es particularmente alarmante debido a la omnipresencia del chip ESP32 en dispositivos del Internet de las Cosas (IoT).

Según la información proporcionada por Tarlogic, el uso indebido de estas vulnerabilidades podría facilitar ataques que comprometan dispositivos sensibles como teléfonos móviles, ordenadores, cerraduras inteligentes e incluso equipos médicos, evadiendo los mecanismos tradicionales de auditoría de código.

La investigación reveló un total de 29 comandos ocultos (Opcode 0x3F) en el firmware Bluetooth del ESP32. Estos comandos permiten el acceso a operaciones delicadas como la manipulación de la memoria RAM y Flash, la falsificación de direcciones MAC (suplantación de identidad) e inyección de paquetes Bluetooth LMP/LLCP.

 

El descubrimiento fue posible gracias a una herramienta desarrollada específicamente por los investigadores: un controlador USB Bluetooth escrito en lenguaje C, compatible con cualquier plataforma y que permite interactuar directamente con el hardware Bluetooth sin depender de las APIs específicas del sistema operativo.

Aunque normalmente la explotación de estas vulnerabilidades requeriría acceso físico directo (USB o interfaz UART), no se descarta que mediante firmware malicioso o conexiones Bluetooth no autorizadas pueda realizarse un ataque remoto. Esto sería especialmente viable en escenarios en los que un atacante ya posee acceso privilegiado al sistema, ya sea mediante malware preinstalado o actualizaciones comprometidas.

En tal contexto, la persistencia del ataque sería particularmente peligrosa, pues permitiría esconder amenazas persistentes avanzadas (APT) en la memoria del propio chip ESP32, realizando ataques continuados vía Bluetooth o Wi-Fi a otros dispositivos de la red, mientras mantiene control total del dispositivo comprometido.

Hasta ahora, Espressif no ha emitido declaraciones públicas sobre esta vulnerabilidad ni ha explicado si estos comandos quedaron expuestos por error o si estaban destinados a un uso específico interno del fabricante.