El pasado 6 de marzo saltó la noticia sobre una vulnerabilidad ESP32 que afectaba a millones de dispositivos domóticos y del IoT. Esta vulnerabilidad ESP32 se destapó en el RootedCON por parte de dos investigadores españoles.
Pero, ¿Qué hay de cierto? ¿Es una puerta trasera que traen los ESP32? ¿Puede afectar a tus dispositivos domóticos y a tu sistema domótico basado en Home Assistant? ¿Qué pasará en el futuro? ¿Qué opina la empresa detrás de este chip, Espressif?
De todo esto es de lo que voy a hablar en este artículo.
Indice de contenidos
Capítulos vulnerabilidad ESP32
Si quieres ir a tiro hecho, aquí te dejo los capítulos.
00:00 Introducción
01:05 Dispositivos afectados de la vulnerabilidad ESP32
02:10 Qué consecuencias y peligros tiene este hack ESP32
04:16 Recomendaciones
06:08 Mi opinión sobre la vulnerabilidad ESP32
Dispositivos afectados
El ESP32 es un microchip con WiFi y Bluetooth fabricado por el fabricante chino Espressif. Se trata de un chip muy económico, puedes comprar un ESP32 por menos de 2 euros al Aliexpress. Es tan popular que según la empresa se han vendido más de mil millones de unidades. Esta noticia es del 2023 así que imagino que a día de hoy serán unos cuantos millones más.
El ESP32 se utiliza en dispositivos de todo tipo. Muchos fabricantes como Shelly, Sonoff o Xiaomi utilizan un ESP32 para sus dispositivos domóticos. Hay millones de dispositivos del IoT que utilizan este chip. Pero también se utilizan en ordenadores, equipamientos médicos, en cerraduras inteligentes y sistemas de seguridad.
Son muchos los dispositivos que utilizan un ESP32 y que se comercializan a nivel mundial. Es algo normal, me refiero a que es un chip que permite conectividad WiFi y Bluetooth, es muy económico y hay una buena documentación para poder usarlo. De ahí que se use de forma masiva en campos como la domótica, el IoT y tecnologías para el hogar.
Y ahora viene la noticia porque un equipo de investigadores ha descubierto comandos ocultos que pueden afectar a la seguridad de todos los ESP32. Estos comandos ocultos y no documentados puede hacer que los cibergüenzas realicen ataques de suplantación de identidad, acceso no autorizado a datos confidenciales e incluso el acceso a otros dispositivos que estén en la misma red.
Para que te hagas una idea de la magnitud de esta vulnerabilidad en los ESP32, es como si de repente descubren que todas las casas de Europa tienen una puerta oculta a la que pueden acceder los cacos y malhechores cuando les dé la gana.
Qué implica la vulnerabilidad ESP32
Este hallazgo fue presentado el pasado 6 de marzo en la RootedCON 2025, el mayor congreso de ciberseguridad en español del mundo. El descubrimiento fue realizado por dos investigadores de la empresa Tarlogic Security, Miguel Tarascó y Antonio Vázquez.
Los investigadores identificaron 29 comandos no documentados en el firmware Bluetooth del ESP32 que podrían usarse para manipular la memoria, suplantara direcciones MAC e inyección de código malicioso.
Y esto, como es normal, ha generado un gran revuelo en la comunidad centrada en la ciberseguridad y en los usuarios de estos dispositivos.
Según los investigadores, esta vulnerabilidad ESP32 puede hacer que actores maliciosos puedan infectar no solo los propios chips ESP32, sino también los dispositivos que se conectan a ellos a través de Bluetooth, como teléfonos inteligentes, ordenadores, cerraduras inteligentes, dispositivos domóticos o equipos médicos.
La explotación de los 29 comandos que supone esta vulnerabilidad de los ESP32 puede hacer que los cibergüenzas realicen ataques de suplantación de identidad, acceso a datos e infectar de manera permanente millones de dispositivos.
El fin puede ser muy variado, desde tomar el control de los dispositivos como cerraduras inteligentes a obtener información confidencial, acceso a conversaciones personales y privadas y espiar a ciudadanos y empresas.
Recomendaciones pare evitar vulnerabilidad ESP32
Ante esto los expertos recomiendan una serie de medidas para minimizar los riesgos. Lo primero sería actualizar el firmware del ESP32 tan pronto como Espressif publique una corrección.
También sería interesante restringir el acceso físico a los dispositivos que utilicen este microcontrolador, monitorizar el tráfico tanto WiFi como Bluetooth e intentar no utilizar este tipo de dispositivos en sistemas críticos hasta que se resuelva la vulnerabilidad.
Otra opción sería activar el modo de arranque seguro que admiten los ESP32 o el cifrado de la memoria flash. Ambas funciones pueden habilitarse por los clientes que compran ESP32 que, por lo general, nos se habilitan para dispositivos de gama baja donde el objetivo es el rendimiento económico, es decir, gastar el mínimo tiempo en ingeniería posible en productos de bajo margen.
Qué dice Espressif la empresa detrás del ESP32
Ante esta noticia Espressif lanzó un comunicado oficial aclarando la situación. Lo primero que hace es desmentir que se trate de una puerta trasera como tal ya que este término implica un método encubierto de eludir la autenticación o el cifrado en un ordenador o dispositivo.
Según Espressif lo que se encontró son comandos de depuración incluidos con fines de prueba. Estos comandos de depuración son parte de la implementación de Espressif del protocolo HCI (Host Controller Interface) utilizado en la tecnología Bluetooth.
También aclaran que Espressif siempre ha dado prioridad a la seguridad y trabaja activamente para mejorar continuamente la seguridad de sus productos y agradece a los investigadores detrás de esta hallazgo la aclaración de que no se debe a una puerta trasera.
Por último recomiendan a los usuarios que utilicen en firmware oficial y lo actualicen periódicamente para garantizar que sus productos reciban los últimos parches de seguridad.
Mi opinión sobre la vulnerabilidad ESP32
Mi opinión es tranquilidad, no hay que poner el grito en el cielo. Esta vulnerabilidad ESP32 no es exclusiva de estos microchips, me refiero a que otros chips que utilizan Bluetooth como los Broadcom o Texas Instruments también tienen accesibles comandos Bluetooth ocultos.
Eso sí, que cualquier cibergüenza pueda tener acceso a unos comandos ocultos con la capacidad de leer y escribir la memoria es un grave fallo en cuanto al diseño de la seguridad de los dispositivos. Sea el fabricante que sea.
Decir que todos los productos de bajo coste son inseguros sería muy atrevido por mi parte, pero debemos ser conscientes que cuando algo es más caro, no sólo estás pagando la marca.
Y poco más, las próximas semanas iremos viendo cómo evoluciona esta noticia y la postura de Espressif ante este golpetazo en la mesa por parte de la comunidad.
Gracias a Depositphotos por ceder algunas de las imágenes de este artículo.