El componente ESP32 está presente en móviles, ordenadores y hasta cerraduras

El escándalo es de magnitud internacional dentro del mundo de la informática, y lo ha descubierto una empresa española. Tarlogic Security, una compañía gallega de ciberseguridad, acaba de presentar los resultados de sus investigaciones respecto a un compenente tecnológico que probablemente usted tenga ahora en su bolsillo.

Se trata de un chip que montan la mayor parte de dispositivos usados mundialmente cada día para comunicarse. Está en su teléfono móvil, en la tablet en la que ve las series y en el ordenador que usa trabajando para su empresa. Un pequeño controlador indispensable para que funcionen esos aparatos que utilizamos en nuestra vida cotidiana.

Se trata del omnipresente microchip ESP32. Un microcontrolador fabricado por el fabricante chino Espressif y utilizado, según Tarlogic, por más de mil millones de unidades en 2023. Una pieza que permite la conexión WiFi y Bluetooth y que está presente en millones de dispositivos IoT (el denominado ‘Internet de las cosas’) de consumo masivo.

Realizar ataques

Los investigadores españoles Miguel Tarascó Acuña y Antonio Vázquez Blanco han llegado a la conclusión de que esa pieza contiene una serie de comandos no documentados que podrían utilizarse para realizar ataques, y así lo han presentado recientemente en una conferencia en RootedCON 2025, el congreso más importante del mundo sobre ciberseguridad en español, que se acaba de celebrar en Madrid.

«Un chip que cuesta 2€ puede abrir la puerta a suplantar identidades para conectarse a miles de dispositivos IoT», aseguran desde la compañía gallega, que ha desarrollado un estudio en el que han revisado múltiples dispositivos Bluetooth usando una metodología que sistematiza la realización de auditorías de seguridad Bluetooth, y concluye que «cuenta con comandos ocultos no documentados por el fabricante».

«En el transcurso de la investigación se ha descubierto una funcionalidad oculta en el chip ESP32, usado en millones de dispositivos IoT y que se puede adquirir en los e-commerce más famosos del mundo por 2€». Esa es una de las claves, que por su bajo costo «está presente en la gran mayoría de dispositivos IOT Bluetooth de uso doméstico. En el 2023, el fabricante Espressif informó en un comunicado que hasta ese momento se habían vendido mil millones de unidades de este chip en todo el mundo».

Espiar ciudadanos

Con este componente, advierten desde esta compañía gallega, «los actores maliciosos podrían hacerse pasar por dispositivos conocidos para conectarse a móviles, ordenadores y dispositivos inteligentes, aunque estén en modo de no conexión. ¿Con qué fin? Obtener información confidencial almacenada en ellos, tener acceso a conversaciones personales y empresariales, espiar a ciudadanos y empresas.

«La explotación de esta funcionalidad permitiría a los actores hostiles realizar ataques de suplantación de identidad e infectar de manera permanente dispositivos sensibles como móviles, ordenadores, cerraduras inteligentes o equipamientos médicos saltándose controles de auditoría de código», aseguran desde Tarlogic.

«Los comandos no documentados permiten la suplantación de dispositivos confiables, el acceso no autorizado a datos, el cambio a otros dispositivos en la red y, potencialmente, el establecimiento de una persistencia a largo plazo», explican desde la compañía gallega. «Dichos comandos permitirían modificar los chips de manera arbitraria para desbloquear funcionalidades adicionales, infectar estos chips con código malicioso y llegar a realizar ataques de suplantación de identidad de dispositivos».

Comunicado

En un principio, desde Tarlogic definieron la amenaza como «una puerta trasera», y ahora la describen como «una funcionalidad oculta». La diferencia es que la primera sería intencional. La segunda, no. Y eso es lo que defiende la empresa china fabricante, Espressif, que se ha visto obligada a emitir un comunicado para clarificar su postura y especificar que, en este caso, no se trata de una puerta trasera.

La propia compañía de Tarlogic ha incorporado esta actualización a sus investigaciones: «Queremos matizar que es más adecuado denominar «hidden feature / Funcionalidad oculta» en vez de «backdoor» a la existencia de comandos HCI propietarios que permiten realizar operaciones, como la lectura y modificación de la memoria en el controlador ESP32″, concluyen desde la empresa gallega.

Fuente: elperiodico.com