Una empresa gallega detecta una brecha de seguridad en un microchip de solo dos euros que llevan millones de dispositivos

La empresa gallega Tarlogic Security ha anunciado que ha detectado una funcionalidad oculta en el ESP32, un microcontrolador que permite la conexión wifi y Bluetooth y que está presente en millones de dispositivos de consumo masivo. La explotación de esta funcionalidad permitiría a los ciberdelincuentes realizar ataques de suplantación de identidad e infectar aparatos sensibles, como móviles, ordenadores, cerraduras inteligentes o equipamientos médicos, saltándose controles de auditoría de código.

Este descubrimiento se enmarca dentro de las investigaciones que lleva a cabo el departamento de innovación de Tarlogic sobre el estándar Bluetooth. La compañía también ha presentado en la RootedCON, el mayor congreso de ciberseguridad en español del mundo, BluetoothUSB, una herramienta gratuita y libre que permite el desarrollo de pruebas para auditorías de seguridad sin importar el sistema operativo de los dispositivos. 

La solución fue presentada por Miguel Tarascó, director de innovación de Tarlogic, y Antonio Vázquez, investigador de este departamento. Buscan «democratizar la ejecución de pruebas de seguridad de dispositivos Bluetooth y ayudar a fabricantes y expertos en ciberseguridad a proteger toda clase de gadgets y equipamientos tecnológicos frente a los ataques que tienen como fin espiar a ciudadanos y empresas y tomar el control de dispositivos esenciales en el día a día», apuntan desde la compañía.

Los investigadores de la firma de ciberseguridad han revisado múltiples dispositivos Bluetooth usando la metodología BSAM, presentada por Tarlogic hace un año, que sistematiza la realización de auditorías de seguridad Bluetooth. En el transcurso de la investigación se ha descubierto la citada funcionalidad oculta en el chip ESP32, usado en millones de dispositivos IoT (Internet de las cosas) y que se puede adquirir en los ecommerce más famosos del mundo por solo dos euros.

Debido a su bajo costo, está presente en la gran mayoría de dispositivos IoT Bluetooth de uso doméstico. En el 2023, el fabricante Espressif informó en un comunicado que hasta ese momento se habían vendido mil millones de unidades de este chip en todo el mundo. Tras el descubrimiento de Tarlogic, Espressif ha tenido que salir la paso para afirmar que eliminará los comandos de depuración en una futura actualización de software.

Tarlogic afirma que los chips ESP32, que permiten la conectividad a través de wifi o Bluetooth, cuentan con comandos ocultos no documentados por el fabricante, que permitirían modificar los chips de manera arbitraria para desbloquear funcionalidades adicionales, infectarlos con código malicioso y llegar a realizar ataques de suplantación de identidad de dispositivos. «De tal forma que los ciberdelincuentes podrían hacerse pasar por dispositivos conocidos para conectarse a móviles, ordenadores y dispositivos inteligentes, aunque estén en modo de no conexión», afirman desde la empresa de Teo. 

Más actividad

Los expertos en ciberseguridad dieron a conocer el pasado año BlueTrust, una vulnerabilidad que permite identificar y vincular dispositivos Bluetooth entre sí y que se puede explotar para inferir datos personales como nombres, direcciones o números de teléfono. ¿Con qué fin? Llevar a cabo ataques y fraudes. También presentó, en el 2024, BSAM, la primera metodología para realizar auditorías de seguridad de Bluetooth y detectar debilidades y vulnerabilidades en los dispositivos que emplean este estándar. 

Ahora, «se va un paso más allá en la tarea de fortalecer la seguridad de millones de gadgets», ya que, indican, BluetoothUSB «es una herramienta que permite desarrollar todos los controles de seguridad de BSAM y llevar a cabo evaluaciones integrales de los gadgets sin tener que recurrir a múltiples software y hardware. Lo que supone un ahorro mayúsculo de tiempo, esfuerzo e inversión».

---

---

---