El denominado Project Zero fue creado por Googlehará ya más de tres años, y se trata de un equipo de expertos en seguridad informática cuyo principal objetivo pasa por sacar a la luz los agujeros de seguridad que afectan a los grandes fabricantes. Este equipo acaba de dar a conocer una vulnerabilidad en el módulo WiFi de los procesadores de Broadcom, que es la compañía que suministra a la gran mayoría de fabricantes de móviles del planeta los componentes que hacen posible que el WiFi funcione en un teléfono. Samsung, Apple y hasta los móviles de Google están en el punto de mira.

En pocas palabras, lo único que necesitaría un atacante para aprovecharse de esta vulnerabilidad es estar relativamente cerca de la víctima (todo lo cerca que obliga la limitada cobertura de las redes WiFi, es decir, a unos pocos metros de distancia). A partir de ahí, insertando un código podría tomar el control del dispositivo sin que la víctima sea consciente de ello.

Broadcom ha tardado cuatro meses en solucionar el problema

Por supuesto, partimos de la base de que desde Project Zero no han sido tan irresponsables como para dar a conocer públicamente un fallo de seguridad de este calibre sin antes haber contactado con los afectados. Broadcom, que para aquellos que no lo sepan es una compañía con sede estadounidense que se especializa en la fabricación de circuitos integrados, ha tenido cuatro meses para solucionar el problema antes de que éste se haya dado a conocer en todo el mundo. Esos cuatro meses, tal y como puntualizan desde BleepingComputer.com, son los que la empresa ha necesitado para parchear la vulnerabilidad.

En esos cuatro meses, tanto los desarrolladores de Android como los de iOS han estado a la espera de que Broadcom solucionara el problema para poder publicar la actualización que elimine este agujero de seguridad. Dicha solución ya está en manos de los fabricantes, y ahora depende de ellos que termine por llegar a los usuarios. Appleya lo ha hecho, y Googletambién ha solucionado el problema con la última actualización de seguridad que cualquier fabricante puede distribuir en sus terminales.

De hecho, en la lista de novedades de la actualización de seguridad de Android correspondiente al mes de abril lo que se menciona en el primer puesto de la lista es ni más ni menos que “Remote code execution vulnerability in Broadcom Wi-Fi firmware“. Dicha vulnerabilidad aparece con la etiqueta de “Crítico“, y el hecho de que salga en esta lista significa que el agujero ha sido solucionado para que sea imposible de aprovechar en un móvil Android. Siempre y cuando ese móvil esté actualizado a la última versión, claro está.

 Apple ya está distribuyendo la corrección de seguridad con iOS 10.3.1

Para hacernos una idea de la magnitud de este agujero de seguridad, basta con que sepamos que Apple se ha visto a distribuir la actualización de iOS 10.3.1tan solamente una semana después de la llegada de la actualización principal, la de iOS 10.3. Pese a que incorpora otras correcciones de errores, la principal misión de esta actualización pasa precisamente por corregir el agujero de seguridad de Broadcom. Que los de Cupertino se hayan movilizado tan rápido para lanzar este parche dice mucho de lo serio que es el problema.

Entonces, ¿qué móviles deben actualizarse cuanto antes?

Desde Project Zero no detallan la lista completa de teléfonos afectados por esta vulnerabilidad, pero es fácil imaginarse la extensión de dicha lista sabiendo la popularidad de los componetes de Broadcom entre los diferentes móviles del mercado. Lo que sí se detalla desde este equipo de seguridad es que el Nexus 6P, el Nexus 6, el Nexus 5, la mayoría de móviles de alta gama de Samsung y todos los iPhone desde el iPhone 4 están afectados por esta amenaza.

En el caso de Samsung, la buena noticia es que los principales dispositivos afectados son teléfonos de gama alta. Y es una buena noticia porque significa que solamente es cuestión de días que sus propietarios reciban la última actualización de seguridad de Android, una actualización periódica a la que la compañía surcoreana se comprometió desde la polémica del caso Stagefright. Si tienes un Galaxy S7 Edge, un Galaxy S7 o un Note 5, te recomendamos que instales la actualización de seguridad en cuanto esté disponible para tu dispositivo.

Los móviles fabricados por Google, por su parte, ya tienen disponible la actualización de seguridad que soluciona este problema. Lo mismo ocurre con los iPhone, que ya han empezado a recibir en todo el mundo la última actualización de iOS 10.3.1. Si alguno se ha preguntado alguna vez qué sentido tiene instalar actualizaciones del sistema menores, este caso es probablemente la mejor respuesta que se puede encontrar a dicha pregunta.