Abel Hernández
EditorSi un altavoz solo reproduce sonido, ¿qué puede salir mal? Por desgracia, esa pregunta tan cómoda acaba de obtener una respuesta que no te tranquilizará. Sound Blaster Katana V2X, una barra de sonido para gaming de Creativa, ronda los 300 dólares de precio y acumula reseñas entusiastas por su calidad de audio. El problema, como descubrió Rasmus Moorats (investigador de seguridad) por accidente, es que ese mismo altavoz tan aplaudido puede convertirse en la puerta de entrada perfecta para asaltar tu ordenador.
Cualquier persona situada a 15 metros de él puede conectarse a él sin emparejarse por Bluetooth ni tocarlo físicamente. A partir de ahí, instala un firmware manipulado por el aire y el altavoz empieza a hacerse pasar por un teclado que, por ejemplo, escribe órdenes directamente en el PC al que está enchufado por USB. Así, Moorats escribe en la prueba de concepto un inocente "echo pwned", pero un atacante real podría ejecutar algo mucho peor en Windows, macOS o Linux.
El altavoz que nunca apaga su Bluetooth
Aquí aparece el detalle más incómodo. Como adelantó Ars Technica, el Bluetooth de Katana V2X no se apaga nunca (ni siquiera en modo reposo), así que la puerta queda abierta de forma permanente. Esto permitió a Moorats encadenar dos fallos: una conexión Bluetooth que no pide autenticación y, por otro lado, un firmware que nadie verifica antes de instalarse. Con esa combinación, el aparato no solo sirve para teclear a distancia, sino que también se podría usar como micrófono espía dentro de tu propia habitación.
Lo más llamativo es la reacción del fabricante. Cuando Moorats avisó a Creative a través del CERT de Singapur, dos meses después la empresa respondió que eso no era una vulnerabilidad. Esto significa que no habrá parche oficial y, por ahora, la única defensa es una herramienta comunitaria llamada v2x-patcher que corta el acceso por Bluetooth o, directamente, desconecta el altavoz de los equipos con información sensible. De momento, el riesgo sigue limitado a aquellos que tienes cerca: vecinos, compañeros de piso u oficinas pegadas a la tuya.
El episodio cobra otra dimensión si miramos a Europa. El nuevo Reglamento de Ciber Resilencia de la UE obliga a los fabricantes de productos conectados a dar soporte de seguridad y gestionar sus vulnerabilidades durante toda la vida útil del aparato. Será plenamente aplicable desde diciembre de 2027, pero las primeras obligaciones de notificación se producirán en septiembre de este mismo año. En ese escenario, responder "esto no es nuestro problema" ya no es una opción aconsejable si deseas vender en la UE.
La moraleja, por tanto, es tan sencilla como inquietante. ¿Importan las reseñas magníficas sobre sonido si no te dicen de forma abierta que su software no es seguro? Cualquier dispositivo con Bluetooth y una app propia pueden ser un punto débil, sobre todo si el fabricante decide mirar hacia otro lado. Por ello, mientras llegan las normas que obliguen a tomárselo en serio, la prudencia manda: actualiza lo que puedas y desconfía de los aparatos que nunca se apagan del todo.
Imagen principal de Creative Technologies
En 3DJuegos | La Generación Z cree que se está volviendo estúpida. El 46% asegura que se vuelven menos inteligentes conforme más usan la IA
En 3DJuegos | ¿Tienes un teléfono Samsung? Activa esta función Wi-Fi inteligente ahora mismo
Ver 0 comentarios