Un altavoz conectado por USB puede infectar un PC sin contacto, a través de radio

Investigadores de la Universidad del Ruhr en Bochum han demostrado que un popular altavoz USB-Bluetooth puede recibir una inyección de código en su firmware desde más de 30 metros y, después, enviar comandos similares a los de un teclado o ratón al ordenador conectado. El hallazgo, recogido por Ars Technica, revela una nueva clase de ataque que no requiere ninguna interacción del usuario.

El ataque aprovecha la falta de validación en la capa GATT del protocolo Bluetooth Low Energy (BLE). El producto permite cargar temas o perfiles de ecualización de audio mediante BLE desde una aplicación móvil; los investigadores confirmaron que ese mismo canal puede transferir también código ejecutable.

El nombre del producto se registrará en el sistema Common Vulnerabilities and Exposures (CVE) en una divulgación coordinada en las próximas semanas. Ars Technica señala que el fabricante dispone de tiempo para desplegar un parche, pero apunta que el producto cuenta con una nota media de cuatro estrellas en Amazon y Best Buy y una distribución amplia.

Tras la inyección de firmware, el dispositivo puede enviar comandos Human Interface Device (HID) al PC por USB. Eso significa hacerse pasar por un teclado, abrir una terminal, ejecutar un script y, finalmente, lanzar un cargador de malware.

La característica decisiva del ataque es el alcance de BLE: el atacante puede operar desde más de 30 metros. En oficinas abiertas, cafeterías, bibliotecas o salas de conferencias, no necesita acceso físico al objetivo.

Los investigadores presentarán su trabajo con detalle en Black Hat USA 2026. El profesor Christof Paar, responsable del grupo de Bochum, declaró a Ars Technica: "La electrónica de consumo con firmware escribible por BLE ha explotado. Si los fabricantes no se toman en serio los mecanismos de validación, esta clase de ataque crecerá".

Para los usuarios, el artículo enumera pasos prácticos: evitar productos que no muestren un diálogo de confirmación para actualizaciones de firmware vía BLE, apagar los dispositivos que permanezcan en modo "GATT discoverable" y ejecutar software de protección de endpoint que emita alertas de inyección HID a nivel de sistema operativo.

Para los departamentos de TI corporativos, el modelo de ataque puede exigir actualizar las políticas de control de endpoint USB. Las listas blancas USB existentes filtran a menudo por vendor/product ID; esos controles pueden eludirse cuando el dispositivo se presenta como una clase HID corriente.

Otros productos con arquitectura similar están siendo evaluados por investigadores de seguridad; podría verse afectada una familia de productos más amplia. Entre los fabricantes estudiados figuran timbres inteligentes, auriculares USB y hubs de domótica.

Las defensas de los usuarios dependen de la rapidez con la que los fabricantes publiquen los parches. Ars Technica argumenta que reforzar las políticas USB en entornos corporativos y mantener los productos BLE de consumo fuera de la red corporativa es la defensa más sólida a corto plazo.