En un mundo cada vez más interconectado, la seguridad de los dispositivos que utilizamos diariamente es fundamental. Desde teléfonos móviles y computadoras hasta electrodomésticos inteligentes como lavadoras y frigoríficos, el Internet de las Cosas (IoT) ha transformado la forma en que vivimos e interactuamos con la tecnología. Sin embargo, esta transformación trae consigo nuevos desafíos en términos de seguridad, especialmente cuando se trata de la infraestructura invisible que hace posible esa conectividad. Recientemente, se ha descubierto una vulnerabilidad significativa en el chip Bluetooth ESP32, uno de los más utilizados a nivel global para conectar millones de dispositivos, que podría poner en grave peligro la privacidad y protección de datos de los usuarios. El chip ESP32, fabricado por la empresa china Espressif y lanzado en 2023, está presente en más de mil millones de dispositivos.
Su popularidad se debe en gran parte a su eficiencia y precio accesible, además de contar con capacidades integradas tanto para conexiones Bluetooth como Wi-Fi. Sin embargo, esta popularidad también lo convierte en un objetivo atractivo para los ciberdelincuentes. En marzo de 2025, durante la conferencia RootedCON en Madrid, los investigadores de seguridad Miguel Tarascó Acuña y Antonio Vázquez Blanco, de la firma Tarlogic Security, revelaron la existencia de comandos undocumentados dentro del firmware Bluetooth del ESP32 que podrían ser utilizados para ataques maliciosos. La clave del peligro radica en una serie de comandos ocultos o «hintertüren» (puertas traseras) que no habían sido documentados ni divulgados por Espressif, lo que implica que no deberían estar accesibles para usuarios o desarrolladores. Estos comandos permiten un control a muy bajo nivel del chip, incluyendo manipulaciones de memoria, suplantación de direcciones MAC, inyección de paquetes y activación clandestina de conexiones Bluetooth y Wi-Fi.
Esto abre la puerta a que un atacante con suficientes conocimientos técnicos y acceso previo pueda tomar control remoto de dispositivos, consultar o modificar datos, y permanecer oculto dentro de redes domésticas o corporativas. Un gran problema asociado es que la explotación de esta vulnerabilidad resulta más factible si el atacante ya ha conseguido privilegios de root o acceso administrativo en el dispositivo infectado. A partir de ahí, puede utilizar este acceso para saltarse los mecanismos de seguridad convencionales, como la verificación de código, e instalar software malicioso persistente que controle las comunicaciones inalámbricas al nivel más bajo. Así, dispositivos como teléfonos inteligentes, ordenadores, cerraduras inteligentes o incluso aparatos médicos conectados pueden verse comprometidos de forma duradera, generando riesgos que van desde la privacidad hasta la seguridad física. Para detectar dicha vulnerabilidad, los expertos desarrollaron un controlador USB-Bluetooth en lenguaje C que funciona de manera independiente del hardware y del sistema operativo, accediendo directamente al tráfico y dispositivos Bluetooth.
Este enfoque sin intermediarios fue crucial para revelar la presencia de 29 comandos manufactureros no documentados, clasificados bajo el código de operación 0x3F, que proporcionan control absoluto sobre varias funcionalidades internas del chip ESP32. La falta de documentación oficial por parte de Espressif sobre estos comandos genera múltiples especulaciones. Podrían haber sido funciones destinadas para pruebas internas o desarrollo, accidentalmente dejadas activas en el firmware para producción, o potencialmente habilitadas intencionalmente aunque sin una divulgación formal. Lo cierto es que su existencia representa un fallo importante en la gestión de la seguridad por parte del fabricante. A nivel global, la magnitud de la posible amenaza es enorme.
Al ser usado en dispositivos tan diversos y ubicuos como sistemas de audio, televisión, electrodomésticos e incluso equipos médicos, el alcance de una potencial explotación es de miles de millones de dispositivos. Por esta razón, la vulnerabilidad ha sido registrada bajo el identificador CVE-2025-27840 para seguimiento y análisis por parte de la comunidad de seguridad. Por el momento, no se ha reportado ningún caso conocido donde esta vulnerabilidad haya sido explotada de manera activa en el entorno real, lo cual no debe inducir a un falso sentido de seguridad. La experiencia muestra que muchas amenazas comienzan siendo teóricas hasta que ciberatacantes encuentran el modo efectivo de ataque y escala. Para los usuarios finales, esto significa que, aunque no hay una solución definitiva inmediata disponible, es vital adoptar medidas básicas de seguridad, especialmente asegurando que sus dispositivos reciban actualizaciones constantes, y restringir el acceso administrativo a equipos conectados a la red.
Además, la vigilancia frente a comportamientos anómalos y la implementación de soluciones de seguridad avanzadas puede minimizar el riesgo de intrusiones. Por su parte, los fabricantes y desarrolladores que integran el chip ESP32 en sus productos deberán colaborar con Espressif y los investigadores para evaluar la situación a fondo y diseñar parches o mitigaciones que cierren estas puertas traseras sin comprometer la funcionalidad del dispositivo. La transparencia en la información y la acción rápida serán claves para preservar la confianza del mercado y los usuarios. Este caso evidencia que el creciente ecosistema del Internet de las Cosas también implica riesgos tecnológicos sofisticados que solo pueden ser enfrentados con investigación continua, intercambio de conocimientos y prácticas de desarrollo seguras. La seguridad en el Bluetooth y la conectividad inalámbrica no puede ser relegada, ya que incluso pequeñas vulnerabilidades en dispositivos aparentemente inofensivos pueden derivar en grandes brechas de seguridad con consecuencias a nivel personal, empresarial y social.
