Descubrimiento y presentación en DEF CON 33
En el evento de seguridad DEF CON 33 celebrado el 9 de agosto de 2025, los investigadores de Eclypsium —Paul Asadoorian, Mickey Shkatov y Jesse Michael— dieron a conocer “BadCam”: una vulnerabilidad que permite transformar webcams Lenovo compatibles con Linux en dispositivos BadUSB, capaces de ejecutar ataques sin necesidad de interacción del usuario o del sistema operativo huésped.
Mecanismo del ataque
Los modelos afectados, como Lenovo 510 FHD y Performance FHD, utilizan un sistema basado en Linux y no validan el firmware. Esto permite que un atacante con control remoto pueda reprogramar la cámara, modificando el firmware para que funcione como dispositivo de interfaz humana (HID) malicioso, emulando teclados o enviando cargas útiles para comprometer aún más el sistema, todo mientras la cámara aparenta funcionar con normalidad.
Implicaciones de seguridad y persistencia
Este tipo de ataques es particularmente peligroso porque puede persistir incluso después de reinstalar el sistema operativo. Al operar a nivel de firmware, evade los antivirus tradicionales y puede actuar como puerta trasera para reinfectar sistemas fácilmente.
Reacción oficial y mitigación
Tras la revelación, Lenovo respondió lanzando una actualización de firmware (versión 4.8.0) y desarrolló, en colaboración con SigmaStar, una herramienta para validar firma digital del firmware y corregir la vulnerabilidad.
Riesgo extendido más allá de Lenovo
Aunque el fallo se identificó en modelos específicos de Lenovo, los investigadores advierten que cualquier dispositivo USB basado en Linux sin validación de firmware podría ser vulnerable a ataques similares, ampliando considerablemente la superficie de riesgo en entornos corporativos y domésticos
