El firmware es el software grabado dentro del propio dispositivo que permite al hardware funcionar: arranca el equipo, gestiona los componentes internos, expone interfaces al sistema operativo y, en muchos casos, ofrece red, almacenamiento y servicios sin necesidad de que esté instalado nada encima. Está en sitios donde casi nadie mira: el chip de la BIOS/UEFI de tu portátil, el controlador del SSD, la tarjeta de red, el router doméstico, la cámara IP, el PLC industrial, el coche, el marcapasos. Esa ubicuidad, sumada a su privilegio (corre por debajo del sistema operativo) y a la dificultad de actualizarlo, lo convierte en una de las superficies de ataque más críticas y peor cubiertas de la ciberseguridad moderna. Esta entrada explica qué es el firmware, los tipos que existen, cómo se actualiza y, sobre todo, por qué importa desde el punto de vista de seguridad: bootkits que sobreviven al formateo, ataques BadUSB, compromisos en la cadena de suministro y persistencia en dispositivos IoT/OT.
Qué es el firmware: definición técnica
El firmware es un tipo de software persistente almacenado en memoria no volátil (ROM, flash, EEPROM) dentro de un dispositivo, cuya función es inicializar y controlar el hardware. La palabra mezcla firm (estable, persistente) y software: ni es hardware (no es físico), ni es software de usuario (no se instala ni se desinstala con facilidad).
Tres características técnicas lo definen:
- Ejecuta en el propio dispositivo, no en el sistema operativo principal. La BIOS/UEFI arranca antes de que cargue Windows o Linux; el firmware del SSD ejecuta dentro del propio disco; el del router corre en el procesador de red.
- Tiene privilegio alto sobre el hardware que controla. Puede leer y modificar memoria, configurar interfaces, interceptar comunicaciones y exponer (o no) capacidades al sistema operativo.
- Es difícil de actualizar y, a menudo, no se actualiza. Muchos dispositivos pasan toda su vida con el firmware del fabricante. Esto convierte una vulnerabilidad de firmware en un problema con caducidad larga.
A diferencia del sistema operativo, el firmware no se reinstala con un formateo. Sobrevive a reinstalaciones, a cambios de disco e incluso, en algunos casos, a reflasheos parciales. Es esa persistencia la que lo hace tan atractivo para atacantes avanzados.
Tipos de firmware
Aunque la palabra es una, los firmwares varían enormemente en complejidad, tamaño y exposición.
Firmware del sistema: BIOS y UEFI
El más conocido. Es el código que arranca el equipo cuando pulsas el botón de encendido, inicializa CPU y memoria, identifica los dispositivos, ejecuta los autotests (POST) y carga el sistema operativo. Durante décadas fue la BIOS (Basic Input/Output System); hoy lo estándar es UEFI (Unified Extensible Firmware Interface), más capaz y con extensiones de seguridad como Secure Boot y soporte para TPM.
UEFI no es solo "BIOS moderna": es un sistema operativo mínimo que ejecuta antes del sistema operativo de verdad, con sus propias aplicaciones (gestor de arranque, diagnósticos, herramientas del fabricante) y, lamentablemente, su propia superficie de ataque.
Firmware de periféricos
Cada chip importante de un equipo moderno lleva su propio firmware: SSD/HDD (controladores que gestionan bloques, wear leveling, cifrado), tarjeta de red (Wi-Fi, Ethernet, baseband en móviles), GPU, webcam, lectores de huella, gestor de batería, teclado, ratón. Cada uno es un mundo con sus propios firmware updates y vulnerabilidades.
Firmware de routers y dispositivos de red
Los routers domésticos y los equipos enterprise (firewalls, conmutadores, puntos de acceso) son ordenadores completos con su propio firmware. Suelen ejecutar Linux embebido con servicios de red expuestos. Los firmwares de routers acumulan vulnerabilidades conocidas porque el fabricante deja de mantenerlos rápido y el usuario rara vez los actualiza.
Firmware de dispositivos IoT y OT
Cámaras IP, termostatos, electrodomésticos conectados, sensores industriales, PLCs, controladores de motor. La fragmentación es enorme: cada fabricante con su pila, su criptografía y sus contraseñas por defecto. Es el segmento donde el firmware genera más incidentes hoy: parte del crecimiento de ciberseguridad IoT y OT viene exactamente de esta superficie.
Firmware de móviles: baseband y trusted execution
El móvil moderno tiene varios firmwares ejecutando en paralelo. El baseband gestiona la radio celular (2G/3G/4G/5G) con privilegio paralelo al sistema operativo y ha sido objetivo histórico de ataques zero-click. Los enclaves seguros (Secure Enclave en Apple, TrustZone en ARM) ejecutan firmware criptográfico aislado para gestionar claves y datos sensibles.
Diferencias entre firmware, software y hardware
Las tres palabras se mezclan en conversaciones técnicas. La distinción operativa:
- Hardware: lo físico. Circuitos, chips, placas, conectores. No se reprograma con un comando.
- Firmware: software grabado en el dispositivo. Reprogramable, pero con dificultad. Vive dentro del hardware.
- Software (o aplicaciones): programas que ejecutan encima del sistema operativo. Se instalan, actualizan y desinstalan con facilidad.
El firmware está en el medio: tiene cualidades de hardware (persistencia, dificultad de cambio, control directo) y de software (es código que se puede modificar).
Cómo se actualiza el firmware
La actualización (flashing) ha evolucionado mucho. Las opciones habituales:
- Actualización automática del fabricante. Windows Update y macOS distribuyen firmware UEFI; los routers modernos descargan parches; los móviles reciben firmware vía OTA. Es la vía más segura y, sin embargo, mucha gente la desactiva por miedo a romper algo.
- Aplicación del fabricante. Utilidades específicas como Lenovo Vantage, Dell Command Update, ASUS Live Update. Cómodo pero limitado a equipos modernos.
- Flasheo manual. Descarga el binario del firmware desde la web del fabricante y se actualiza mediante una herramienta o utilidad UEFI. Más control, más riesgo de bricking si falla.
- Firmware no actualizable. Muchos dispositivos IoT y periféricos baratos no tienen mecanismo de actualización: el firmware con el que salieron de fábrica es el que llevarán toda su vida útil.
La industria ha estandarizado firma criptográfica del firmware: solo binarios firmados por el fabricante deben aceptarse para flasheo. Pero la implementación varía y siguen apareciendo bypasses (un ejemplo público reciente fue LogoFAIL, publicado por Binarly en diciembre de 2023, que aprovechaba parseadores de imágenes UEFI mal escritos para ejecutar código arbitrario durante el arranque).
El firmware como superficie de ataque
Aquí está la parte que conviene fijar en seguridad. El firmware ofrece a un atacante varias propiedades que el sistema operativo no le ofrece.
Persistencia extrema
Un compromiso de firmware sobrevive al formateo del disco, al cambio de disco y a la reinstalación del sistema operativo. Si el atacante logra plantar código en la UEFI, en el firmware del SSD o en el chip de red, está dentro de forma muy duradera. Los rootkits a este nivel son la pesadilla de cualquier análisis forense.
Casos públicos relevantes:
- LoJax (2018), atribuido a APT28: primer rootkit UEFI documentado en producción.
- MosaicRegressor (2020): malware UEFI con módulos descargables.
- BlackLotus (documentado públicamente por ESET en marzo de 2023): bootkit UEFI capaz de saltar Secure Boot aprovechando el bug CVE-2022-21894 (Baton Drop), vendido en mercados clandestinos.
- CosmicStrand (Kaspersky, julio de 2022): firmware malicioso encontrado en placas base concretas. La investigación deja abierto el vector exacto de implantación (cadena de suministro o flasheo físico), pero confirma que el implante reside a nivel UEFI.
Visibilidad casi nula para herramientas convencionales
Los antivirus y los EDR tradicionales operan dentro del sistema operativo. Un malware UEFI o un implante en el firmware del SSD está por debajo del nivel que esas herramientas pueden inspeccionar. Solo herramientas especializadas (CHIPSEC, plataformas dedicadas como Eclypsium, telemetría TPM Measured Boot) miran a ese nivel, y rara vez están desplegadas.
Control privilegiado del hardware
Un atacante con firmware comprometido puede interceptar comunicaciones de red (firmware NIC), capturar pulsaciones (firmware teclado), modificar el comportamiento del cifrado (firmware SSD que ejecuta el self-encrypting drive) y, en casos extremos, manipular datos antes de que lleguen al sistema operativo.
Suministro: el riesgo en la cadena
El firmware se graba en fábrica o lo distribuye el fabricante. Comprometer al fabricante es el ataque definitivo: cada dispositivo afectado distribuye el implante automáticamente. Aunque los casos públicos son raros, los informes anuales sobre ataques a la cadena de suministro de software muestran que la tendencia es creciente y que los grandes actores estatales ya operan a este nivel.
Ataques físicos: BadUSB y similares
Dispositivos USB con firmware modificado que se hacen pasar por teclado o tarjeta de red para inyectar comandos cuando se conectan. El ataque BadUSB (presentado en Black Hat 2014) sigue activo más de una década después porque el problema es estructural: USB confía en el firmware del dispositivo, y reprogramar el firmware de un USB es trivial.
Defensa: cómo proteger el firmware
Cinco controles componen una defensa razonable contra ataques a este nivel.
Secure Boot y Measured Boot
Secure Boot valida que los componentes que se cargan durante el arranque (cargadores, drivers, sistema operativo) estén firmados por una autoridad de confianza. Bloquea bootkits que no estén firmados por una cadena legítima. Habilitar Secure Boot debería ser obligatorio en cualquier equipo corporativo moderno.
Measured Boot complementa al anterior: registra en el TPM un hash de cada componente que se carga durante el arranque, generando una huella inalterable que se puede atestar después. Permite detectar si algo cambió.
TPM y attestation remota
El Trusted Platform Module es un chip dedicado (o un coprocesador firmware) que almacena claves criptográficas y huellas del estado del sistema. La attestation remota consiste en que un servidor externo verifique las huellas del TPM antes de dar acceso (clave del modelo Zero Trust con identidad de dispositivo).
Actualizaciones automáticas habilitadas
Buena parte de los compromisos públicos explotan vulnerabilidades con parche disponible. No desactivar las actualizaciones automáticas del fabricante y aplicar parches UEFI con la misma disciplina que parches de sistema operativo es la medida más efectiva para usuarios corporativos.
Inventario y baseline de firmware
Herramientas como Eclypsium, Binarly y otras plataformas de seguridad de firmware permiten inventariar versiones, detectar firmwares conocidos como vulnerables y alertar de cambios anómalos. En sectores regulados (banca, defensa, infraestructuras críticas) están dejando de ser opcionales.
Segmentación física y control USB
Para mitigar BadUSB y compromisos en periféricos: políticas de control USB (whitelist, bloqueo en endpoints sensibles), uso de puertos de datos aislados, y separación física de dispositivos no controlados en áreas de alta sensibilidad.
Firmware en IoT, OT y dispositivos médicos
Es el segmento donde el firmware genera más quebraderos en 2026. Tres motivos:
- Ciclo de vida muy largo: PLCs y SCADA con 10 a 20 años de servicio, marcapasos con décadas de uso, sensores industriales sin reemplazo previsto.
- Sin mecanismo de actualización o con uno costoso (la actualización en OT puede exigir parada de planta).
- Visibilidad limitada: los equipos de seguridad IT rara vez tienen telemetría sobre el firmware OT/IoT del activo.
Las técnicas de auditoría de firmware IoT/OT combinan análisis estático del binario (extracción con binwalk, ingeniería inversa con Ghidra/IDA, búsqueda de credenciales hardcodeadas), análisis dinámico en emulación (QEMU, Firmadyne, FAT), fuzzing dirigido y revisión de la cadena de actualización. Es un trabajo especializado que combina pentesting hardware y software.
Por qué un atacante quiere tu firmware
Resumen rápido de motivaciones por perfil de atacante:
- APT estatales: persistencia indetectable, recolección a largo plazo, sabotaje físico (Stuxnet contra PLCs Siemens fue un caso histórico).
- Cibercrimen avanzado: bootkits para mantener acceso tras intervención DFIR, RaaS con persistencia en UEFI vendido como diferenciador.
- Espionaje industrial: implantes en routers o servidores objetivo para interceptar comunicaciones.
- Atacantes oportunistas: routers domésticos vulnerables agregados a botnets (Mirai, sus sucesores) para DDoS o como proxies.
Errores frecuentes en gestión de firmware empresarial
Patrones que aparecen en auditorías reales:
- No incluir UEFI en el calendario de parches. Se parchea Windows y se ignora el firmware, donde a menudo hay CVEs publicadas con explotación conocida.
- Comprar dispositivos sin política de mantenimiento de firmware. IoT barato sin compromiso de actualización es un activo con caducidad de seguridad inmediata.
- Desactivar Secure Boot por compatibilidad con un proveedor de software que ya no lo necesita. Conviene revisar periódicamente si la excepción sigue justificada.
- No medir el inventario de firmware. Sin saber qué versión corre cada equipo, no se puede priorizar el parcheo.
- Confiar en USB recibidos, sobre todo "regalos" de proveedores o conferencias. Un USB puede esconder firmware malicioso.
Preguntas frecuentes
¿Qué es el firmware en un ordenador?
El firmware en un ordenador es el software grabado en chips internos del equipo (placa base, disco, tarjeta de red, periféricos) que controla el hardware y permite que arranque y funcione. El más conocido es la BIOS/UEFI, que ejecuta nada más pulsar el botón de encendido e inicializa el sistema antes de cargar Windows, Linux o macOS.
¿Qué diferencia hay entre firmware y software?
El software se instala, actualiza y desinstala con facilidad encima del sistema operativo. El firmware está grabado dentro del hardware en memoria no volátil, ejecuta a un nivel más bajo (controla el propio dispositivo) y se actualiza con dificultad o, en muchos dispositivos baratos, no se actualiza nunca. El firmware sobrevive a formateos del disco y reinstalaciones del sistema operativo.
¿Es peligroso actualizar el firmware?
En equipos modernos y con la herramienta oficial del fabricante, el riesgo es bajo y el beneficio (parches de seguridad, correcciones de estabilidad, soporte de hardware nuevo) es alto. El riesgo real es interrumpir el proceso (corte de luz, batería agotada) o flashear el firmware equivocado. Las herramientas modernas tienen protecciones contra ambas cosas. En equipos antiguos sin doble-BIOS, conviene hacer la actualización con batería completa y enchufado.
¿Por qué es importante el firmware en ciberseguridad?
Porque ejecuta por debajo del sistema operativo y tiene privilegio sobre el hardware. Un atacante que comprometa el firmware (UEFI, SSD, tarjeta de red, router) consigue una persistencia muy duradera y invisibilidad frente a antivirus y EDR tradicionales, que operan en el nivel del sistema operativo. Casos públicos como BlackLotus, LoJax, MosaicRegressor y CosmicStrand muestran que el ataque a firmware ya no es teórico.
¿Cómo sé qué versión de firmware tengo?
En Windows, la herramienta msinfo32 muestra la versión de BIOS/UEFI. En Linux, dmidecode -t bios da la misma información. Para periféricos, las utilidades del fabricante. Para routers, el panel de administración suele mostrarlo. En entornos corporativos, plataformas como Microsoft Intune, herramientas de fabricante o soluciones especializadas (Eclypsium, Binarly) centralizan el inventario.
¿Qué es Secure Boot y para qué sirve?
Secure Boot es una característica de UEFI que bloquea el arranque de componentes no firmados por una autoridad de confianza (típicamente el fabricante del sistema operativo o del propio equipo). Su objetivo es prevenir bootkits y cargadores maliciosos. Es la primera línea de defensa contra ataques a nivel UEFI; combinada con Measured Boot y TPM, ofrece evidencia criptográfica del estado de arranque que se puede atestar.
¿Los dispositivos IoT también tienen firmware vulnerable?
Sí, y suelen ser el segmento más expuesto. Muchos dispositivos IoT salen con contraseñas por defecto, sin cifrado de actualizaciones, sin firmas válidas y sin ciclo de parcheo del fabricante. Botnets como Mirai y sus sucesores se sostienen sobre miles de cámaras IP y routers IoT con firmware no parcheable. Es un problema estructural que las normativas recientes (Cyber Resilience Act europea) intentan abordar.
Recursos relacionados
- Tipos de virus informáticos
- Tipos de malware: clasificación completa
- Ataques a la cadena de suministro de software
- Ciberseguridad IoT y OT en 2026
- Qué es EDR
- Pentesting de infraestructura interna y externa
- Servicio de auditoría IoT y OT
- Servicio de auditoría de infraestructura
¿Tu organización tiene dispositivos IoT, OT, equipos con UEFI obsoleta o periféricos sin política de firmware? En Secra hacemos auditorías de firmware y de superficie de ataque a bajo nivel: revisión de versiones, análisis estático y dinámico de firmware, hallazgos accionables y roadmap de remediación. Cuéntanos qué dispositivos manejas y revisamos por dónde merece la pena empezar.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.