Artículos en esta sección

Declaración sobre la vulnerabilidad de seguridad de Bluetooth

Joey T.
Actualización

Riesgo de seguridad Bluetooth – Lo que tú necesitas saber

Se identificó un posible riesgo en cómo los dispositivos COROS y la app COROS se conectan por Bluetooth, específicamente antes de que el emparejamiento esté completo. Este problema ya está resuelto. Actualiza tu dispositivo COROS al firmware más reciente para aplicar las mejoras de seguridad.

Los detalles completos del informe de vulnerabilidad de seguridad de SySS Tech Blog están aquí.

¿Cuál es el problema?

Antes de que tu dispositivo COROS esté completamente emparejado con la app COROS, un atacante cercano (dentro del alcance de Bluetooth—normalmente 10 metros o 30 pies) podría intentar interceptar la conexión usando un dispositivo falso. En teoría, este “dispositivo intermedio” podría acceder o retransmitir partes de la comunicación Bluetooth. Una vez que el emparejamiento está completo, el riesgo se reduce significativamente—pero no se elimina por completo: 

  • Los dispositivos iOS se benefician del cifrado Bluetooth integrado, que añade una fuerte capa de protección. Sin embargo, en casos extremadamente raros, aún pueden existir vulnerabilidades si el dispositivo se desconecta y es atacado por alguien cercano usando herramientas avanzadas.
  • Los dispositivos Android enfrentan un riesgo ligeramente mayor en casos extremos—como cuando el reloj está desconectado del teléfono y un atacante con equipo especializado está dentro del alcance. En estas situaciones, podría ser posible enviar notificaciones falsas, interceptar mensajes o intentar un reinicio.

Actualizaciones

Actualización del 17 de julio ✅ 

Productos:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correcciones de seguridad:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Descripción:

  • Refuerza la seguridad de la conexión Bluetooth en dispositivos Android

Actualización del 28 de julio ✅ 

Productos:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correcciones de seguridad:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descripción:

  • Agrega verificación de firma digital para comandos de control

  • Evita que apps o dispositivos no autorizados envíen comandos de control a tu reloj

Actualización del 20 de agosto ✅ 

Productos:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Correcciones de seguridad:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Descripción:

  • Protección mejorada del enlace Bluetooth para Android

  • Agrega verificación de firma para comandos de control

Actualización de mediados de septiembre ✅

Productos:
APEX 42mm, APEX 46mm

Correcciones de seguridad:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descripción:

  • Seguridad Bluetooth mejorada para Android

  • Agrega verificación de firma para evitar comandos de control Bluetooth no autorizados

Recomendación temporal

Creemos que esos riesgos son poco probables para los usuarios en su vida diaria, pero si tú quieres asegurarte de protegerte contra estos escenarios, aquí tienes algunas recomendaciones:

  1. Si tienes un dispositivo COROS nuevo, por favor conecta tu dispositivo a la app COROS en casa, o en un lugar no público.
  2. Si tú usas Android, simplemente fuerza el cierre de la app COROS cuando no la uses. Esto evita que las notificaciones se envíen al reloj en escenarios de ataque poco comunes.
    1. Cuando la app COROS se cierra o se fuerza el cierre, tu teléfono ya no intentará comunicarse con tu dispositivo COROS, así que cualquier dispositivo de hackeo no tendría éxito.

Qué estamos haciendo al respecto

Desde septiembre de 2025, el problema ya está resuelto. Actualiza tu dispositivo COROS al firmware más reciente para aplicar las mejoras de seguridad.
  • Mediados de julio: Pruebas internas de una actualización de firmware que previene este riesgo.
  • Finales de julio: Lanzamiento público completo de la solución para los siguientes dispositivos:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Otros dispositivos seguirán poco después:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Tu seguridad es nuestra prioridad, y estamos actuando rápido para resolver esto mientras mantenemos tu experiencia lo más fluida posible.

 

Lista completa de detalles CVE:

CVE-2025-32875

Problema: Autenticación insuficiente durante el emparejamiento Bluetooth podría permitir que dispositivos no autorizados inicien una conexión durante la configuración inicial.

CVE-2025-32876

Problema: Debilidad en el proceso de cifrado usado durante el apretón de manos Bluetooth bajo ciertos entornos Android.

CVE-2025-32877

Problema: En escenarios específicos, un dispositivo cercano podría interferir con las comunicaciones Bluetooth si se omiten las comprobaciones de firma.

CVE-2025-32878

Problema: Posibilidad de que comandos de control no verificados sean enviados desde apps o dispositivos no autorizados.

CVE-2025-32879

Problema: Ciertas interfaces de control expuestas por Bluetooth podrían ser accedidas sin la validación adecuada de la sesión.

CVE-2025-32880

Problema: Una vulnerabilidad durante la transmisión de firmware por Bluetooth que podría permitir la manipulación del dispositivo.

CVE-2025-48705 & CVE-2025-48706

Problema: Posibilidad de que comandos de control enviados por Bluetooth eviten las comprobaciones de autenticación en ciertas versiones de Android.

Información adicional

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm no tienen capacidad Wi-Fi y no requieren procesamiento.
 
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 50 de 65