← Volver al blog

Actualizaciones OTA de firmware: cómo funcionan y cómo asegurarlasOTA firmware updates: how they work and how to secure themActualitzacions OTA de firmware: com funcionen i com assegurar-lesMises à jour OTA du firmware : comment elles fonctionnent et comment les sécuriser

18 junio 2026 · 7 min de lectura

Un producto electrónico no termina cuando sale de fábrica. Aparecen errores, se añaden funciones y surgen vulnerabilidades de seguridad. Las actualizaciones OTA (Over-The-Air, "por el aire") permiten actualizar el firmware de un dispositivo de forma remota, sin cables ni intervención del usuario. Hoy ya no son un lujo: la nueva normativa europea de ciberseguridad (el Cyber Resilience Act) prácticamente las exige para cualquier producto conectado.

Servidor / Nube firmware firmado WiFi · celular · BLE Dispositivo Partición A (en uso) Partición B (nueva) verifica firma, escribe B y reinicia rollback si falla
Flujo OTA con doble partición: se escribe la nueva versión en B, se verifica y se arranca; si falla, se vuelve a A.

Qué es una actualización OTA

Una actualización OTA es el proceso por el que un dispositivo descarga una nueva versión de su firmware desde un servidor y la instala él solo, de forma segura y sin "ladrillar" el aparato si algo va mal. Es lo que permite que un wearable, un sensor industrial o una cerradura inteligente mejoren durante años después de venderse.

Cómo funciona: bootloader y particiones A/B

La clave de un OTA fiable es no sobrescribir el firmware que está funcionando. El método más robusto usa dos particiones de memoria (A/B):

  • El dispositivo funciona desde la partición A mientras descarga la nueva versión en la partición B.
  • Un programa pequeño y muy fiable, el bootloader, verifica la imagen nueva y arranca desde B.
  • Si el nuevo firmware no arranca bien o no "confirma" que está sano, el bootloader hace rollback automático a A. El dispositivo nunca se queda muerto.

Esta arquitectura es la diferencia entre un OTA de producto serio y uno que, ante un corte de luz a mitad de actualización, convierte el dispositivo en un pisapapeles.

Seguridad: firma, cifrado y arranque seguro

Una actualización remota es una puerta de entrada perfecta para un atacante: si puede inyectar su propio firmware, controla el producto. Por eso un OTA serio se apoya en tres capas:

  • Firma digital: el dispositivo solo acepta firmware firmado por el fabricante. Comprueba la firma antes de instalar; si no cuadra, lo rechaza. Evita firmware falso o manipulado.
  • Cifrado: la imagen viaja cifrada, de modo que nadie pueda interceptarla y leer tu propiedad intelectual ni descubrir cómo atacarla.
  • Arranque seguro (secure boot): el chip solo ejecuta código firmado, encadenando la confianza desde el bootloader hasta la aplicación. Aunque alguien escriba en la memoria, el dispositivo no arrancará un firmware no autorizado.

Saltarse esta parte es el error más caro: un OTA inseguro no es una funcionalidad, es una vulnerabilidad.

Cómo llega: conectividad y transporte

El "por el aire" depende de cómo se conecte tu producto. Las vías más habituales:

  • WiFi o celular (4G/NB-IoT/LTE-M): el dispositivo descarga la imagen directamente del servidor, normalmente por HTTPS o MQTT con TLS.
  • Bluetooth Low Energy (BLE DFU): la actualización llega desde una app móvil que hace de puente. Ideal en wearables y dispositivos sin conexión propia a internet.
  • Pasarela (gateway): en redes como Zigbee, Thread o LoRa, un concentrador recibe la actualización y la reparte a los dispositivos de la red.

La conectividad condiciona el tamaño de las imágenes, el consumo y la estrategia: no es lo mismo actualizar por WiFi con corriente que un sensor a batería por BLE.

Conclusión

Un buen sistema OTA —con particiones A/B, rollback y seguridad por firma y cifrado— es lo que mantiene un producto vivo, seguro y conforme a la normativa durante toda su vida útil. Diseñarlo bien desde el principio (memoria, bootloader, claves) es mucho más barato que añadirlo a la fuerza después. En Regular Solids implementamos OTA seguro y bootloaders a medida en productos embebidos; si tu dispositivo necesita actualizarse en campo, hablemos.

June 18, 2026 · 7 min read

An electronic product doesn't end when it leaves the factory. Bugs appear, features are added and security vulnerabilities emerge. OTA updates (Over-The-Air) let you update a device's firmware remotely, with no cables and no user intervention. They're no longer a luxury: Europe's new cybersecurity regulation (the Cyber Resilience Act) effectively requires them for any connected product.

Server / Cloud signed firmware WiFi · cellular · BLE Device Partition A (in use) Partition B (new) verify signature, write B and reboot rollback on fail
Dual-partition OTA flow: the new version is written to B, verified and booted; if it fails, it falls back to A.

What an OTA update is

An OTA update is the process by which a device downloads a new firmware version from a server and installs it on its own, securely and without "bricking" the unit if something goes wrong. It's what lets a wearable, an industrial sensor or a smart lock keep improving for years after being sold.

How it works: bootloader and A/B partitions

The key to reliable OTA is not overwriting the firmware that's currently running. The most robust method uses two memory partitions (A/B):

  • The device runs from partition A while downloading the new version into partition B.
  • A small, highly reliable program, the bootloader, verifies the new image and boots from B.
  • If the new firmware doesn't boot properly or doesn't "confirm" it's healthy, the bootloader automatically rolls back to A. The device never ends up dead.

This architecture is the difference between a serious product OTA and one that turns the device into a paperweight if the power drops mid-update.

Security: signing, encryption and secure boot

A remote update is a perfect entry point for an attacker: if they can inject their own firmware, they own the product. That's why a serious OTA relies on three layers:

  • Digital signature: the device only accepts firmware signed by the manufacturer. It checks the signature before installing; if it doesn't match, it rejects it. Prevents fake or tampered firmware.
  • Encryption: the image travels encrypted, so nobody can intercept it to read your intellectual property or learn how to attack it.
  • Secure boot: the chip only runs signed code, chaining trust from the bootloader to the application. Even if someone writes to memory, the device won't boot unauthorized firmware.

Skipping this part is the most expensive mistake: an insecure OTA isn't a feature, it's a vulnerability.

How it arrives: connectivity and transport

The "over the air" depends on how your product connects. The most common paths:

  • WiFi or cellular (4G/NB-IoT/LTE-M): the device downloads the image directly from the server, usually over HTTPS or MQTT with TLS.
  • Bluetooth Low Energy (BLE DFU): the update arrives from a mobile app acting as a bridge. Ideal for wearables and devices without their own internet connection.
  • Gateway: in networks like Zigbee, Thread or LoRa, a hub receives the update and distributes it to the devices on the network.

Connectivity drives image size, power budget and strategy: updating over mains-powered WiFi is not the same as a battery sensor over BLE.

Conclusion

A good OTA system —with A/B partitions, rollback and security through signing and encryption— is what keeps a product alive, secure and compliant throughout its life. Designing it well from the start (memory, bootloader, keys) is far cheaper than bolting it on later. At Regular Solids we implement secure OTA and custom bootloaders in embedded products; if your device needs to update in the field, let's talk.

18 de juny de 2026 · 7 min de lectura

Un producte electrònic no s'acaba quan surt de fàbrica. Apareixen errors, s'afegeixen funcions i sorgeixen vulnerabilitats de seguretat. Les actualitzacions OTA (Over-The-Air, "per l'aire") permeten actualitzar el firmware d'un dispositiu de manera remota, sense cables ni intervenció de l'usuari. Avui ja no són un luxe: la nova normativa europea de ciberseguretat (el Cyber Resilience Act) pràcticament les exigeix per a qualsevol producte connectat.

Servidor / Núvol firmware signat WiFi · cel·lular · BLE Dispositiu Partició A (en ús) Partició B (nova) verifica signatura, escriu B i reinicia rollback si falla
Flux OTA amb doble partició: s'escriu la nova versió a B, es verifica i s'arrenca; si falla, es torna a A.

Què és una actualització OTA

Una actualització OTA és el procés pel qual un dispositiu descarrega una nova versió del seu firmware des d'un servidor i la instal·la ell sol, de manera segura i sense "maó" l'aparell si alguna cosa va malament. És el que permet que un wearable, un sensor industrial o un pany intel·ligent millorin durant anys després de vendre's.

Com funciona: bootloader i particions A/B

La clau d'un OTA fiable és no sobreescriure el firmware que està funcionant. El mètode més robust fa servir dues particions de memòria (A/B):

  • El dispositiu funciona des de la partició A mentre descarrega la nova versió a la partició B.
  • Un programa petit i molt fiable, el bootloader, verifica la imatge nova i arrenca des de B.
  • Si el nou firmware no arrenca bé o no "confirma" que està sa, el bootloader fa rollback automàtic a A. El dispositiu mai no es queda mort.

Aquesta arquitectura és la diferència entre un OTA de producte seriós i un que, davant d'un tall de llum a mitja actualització, converteix el dispositiu en un petjapapers.

Seguretat: signatura, xifratge i arrencada segura

Una actualització remota és una porta d'entrada perfecta per a un atacant: si pot injectar el seu propi firmware, controla el producte. Per això un OTA seriós es recolza en tres capes:

  • Signatura digital: el dispositiu només accepta firmware signat pel fabricant. Comprova la signatura abans d'instal·lar; si no quadra, el rebutja. Evita firmware fals o manipulat.
  • Xifratge: la imatge viatja xifrada, de manera que ningú no la pugui interceptar i llegir la teva propietat intel·lectual ni descobrir com atacar-la.
  • Arrencada segura (secure boot): el xip només executa codi signat, encadenant la confiança des del bootloader fins a l'aplicació. Encara que algú escrigui a la memòria, el dispositiu no arrencarà un firmware no autoritzat.

Saltar-se aquesta part és l'error més car: un OTA insegur no és una funcionalitat, és una vulnerabilitat.

Com arriba: connectivitat i transport

El "per l'aire" depèn de com es connecti el teu producte. Les vies més habituals:

  • WiFi o cel·lular (4G/NB-IoT/LTE-M): el dispositiu descarrega la imatge directament del servidor, normalment per HTTPS o MQTT amb TLS.
  • Bluetooth Low Energy (BLE DFU): l'actualització arriba des d'una app mòbil que fa de pont. Ideal en wearables i dispositius sense connexió pròpia a internet.
  • Passarel·la (gateway): en xarxes com Zigbee, Thread o LoRa, un concentrador rep l'actualització i la reparteix als dispositius de la xarxa.

La connectivitat condiciona la mida de les imatges, el consum i l'estratègia: no és el mateix actualitzar per WiFi amb corrent que un sensor a bateria per BLE.

Conclusió

Un bon sistema OTA —amb particions A/B, rollback i seguretat per signatura i xifratge— és el que manté un producte viu, segur i conforme a la normativa durant tota la seva vida útil. Dissenyar-lo bé des del principi (memòria, bootloader, claus) és molt més barat que afegir-lo a la força després. A Regular Solids implementem OTA segur i bootloaders a mida en productes encastats; si el teu dispositiu necessita actualitzar-se en camp, parlem-ne.

18 juin 2026 · 7 min de lecture

Un produit électronique ne s'arrête pas quand il sort de l'usine. Des bugs apparaissent, des fonctions s'ajoutent et des vulnérabilités de sécurité émergent. Les mises à jour OTA (Over-The-Air, "par les airs") permettent de mettre à jour le firmware d'un appareil à distance, sans câbles ni intervention de l'utilisateur. Aujourd'hui, ce n'est plus un luxe : la nouvelle réglementation européenne de cybersécurité (le Cyber Resilience Act) les exige pratiquement pour tout produit connecté.

Serveur / Cloud firmware signé WiFi · cellulaire · BLE Appareil Partition A (utilisée) Partition B (nouvelle) vérifie la signature, écrit B et redémarre rollback si échec
Flux OTA à double partition : la nouvelle version est écrite dans B, vérifiée et démarrée ; en cas d'échec, retour à A.

Qu'est-ce qu'une mise à jour OTA

Une mise à jour OTA est le processus par lequel un appareil télécharge une nouvelle version de son firmware depuis un serveur et l'installe tout seul, de façon sécurisée et sans "briquer" l'appareil si quelque chose tourne mal. C'est ce qui permet à un wearable, à un capteur industriel ou à une serrure connectée de s'améliorer pendant des années après leur vente.

Comment ça marche : bootloader et partitions A/B

La clé d'un OTA fiable est de ne pas écraser le firmware en cours d'exécution. La méthode la plus robuste utilise deux partitions de mémoire (A/B) :

  • L'appareil fonctionne depuis la partition A pendant qu'il télécharge la nouvelle version dans la partition B.
  • Un programme petit et très fiable, le bootloader, vérifie la nouvelle image et démarre depuis B.
  • Si le nouveau firmware ne démarre pas correctement ou ne "confirme" pas qu'il est sain, le bootloader effectue un rollback automatique vers A. L'appareil ne reste jamais mort.

Cette architecture est la différence entre un OTA de produit sérieux et un OTA qui, face à une coupure de courant en pleine mise à jour, transforme l'appareil en presse-papiers.

Sécurité : signature, chiffrement et démarrage sécurisé

Une mise à jour à distance est une porte d'entrée parfaite pour un attaquant : s'il peut injecter son propre firmware, il contrôle le produit. C'est pourquoi un OTA sérieux s'appuie sur trois couches :

  • Signature numérique : l'appareil n'accepte que du firmware signé par le fabricant. Il vérifie la signature avant d'installer ; si elle ne correspond pas, il la rejette. Cela évite tout firmware falsifié ou manipulé.
  • Chiffrement : l'image circule chiffrée, de sorte que personne ne puisse l'intercepter pour lire votre propriété intellectuelle ni découvrir comment l'attaquer.
  • Démarrage sécurisé (secure boot) : la puce n'exécute que du code signé, en enchaînant la confiance depuis le bootloader jusqu'à l'application. Même si quelqu'un écrit dans la mémoire, l'appareil ne démarrera pas un firmware non autorisé.

Faire l'impasse sur cette partie est l'erreur la plus coûteuse : un OTA non sécurisé n'est pas une fonctionnalité, c'est une vulnérabilité.

Comment elle arrive : connectivité et transport

Le "par les airs" dépend de la manière dont votre produit se connecte. Les voies les plus courantes :

  • WiFi ou cellulaire (4G/NB-IoT/LTE-M) : l'appareil télécharge l'image directement depuis le serveur, généralement via HTTPS ou MQTT avec TLS.
  • Bluetooth Low Energy (BLE DFU) : la mise à jour arrive depuis une application mobile qui sert de passerelle. Idéal pour les wearables et les appareils sans connexion internet propre.
  • Passerelle (gateway) : dans des réseaux comme Zigbee, Thread ou LoRa, un concentrateur reçoit la mise à jour et la distribue aux appareils du réseau.

La connectivité conditionne la taille des images, la consommation et la stratégie : mettre à jour en WiFi sur secteur n'a rien à voir avec un capteur sur batterie via BLE.

Conclusion

Un bon système OTA —avec partitions A/B, rollback et sécurité par signature et chiffrement— est ce qui maintient un produit vivant, sûr et conforme à la réglementation tout au long de sa vie. Bien le concevoir dès le départ (mémoire, bootloader, clés) est bien moins coûteux que de l'ajouter de force plus tard. Chez Regular Solids, nous mettons en œuvre des OTA sécurisés et des bootloaders sur mesure dans des produits embarqués ; si votre appareil doit se mettre à jour sur le terrain, parlons-en.

Sigue leyendoKeep readingContinua llegintContinuez la lecture