← Tornar al blog

Actualitzacions OTA de firmware: com funcionen i com assegurar-les

18 de juny de 2026 · 7 min de lectura

Un producte electrònic no s'acaba quan surt de fàbrica. Apareixen errors, s'afegeixen funcions i sorgeixen vulnerabilitats de seguretat. Les actualitzacions OTA (Over-The-Air, "per l'aire") permeten actualitzar el firmware d'un dispositiu de manera remota, sense cables ni intervenció de l'usuari. Avui ja no són un luxe: la nova normativa europea de ciberseguretat (el Cyber Resilience Act) pràcticament les exigeix per a qualsevol producte connectat.

Servidor / Núvol firmware signat WiFi · cel·lular · BLE Dispositiu Partició A (en ús) Partició B (nova) verifica signatura, escriu B i reinicia rollback si falla
Flux OTA amb doble partició: s'escriu la nova versió a B, es verifica i s'arrenca; si falla, es torna a A.

Què és una actualització OTA

Una actualització OTA és el procés pel qual un dispositiu descarrega una nova versió del seu firmware des d'un servidor i la instal·la ell sol, de manera segura i sense "maó" l'aparell si alguna cosa va malament. És el que permet que un wearable, un sensor industrial o un pany intel·ligent millorin durant anys després de vendre's.

Com funciona: bootloader i particions A/B

La clau d'un OTA fiable és no sobreescriure el firmware que està funcionant. El mètode més robust fa servir dues particions de memòria (A/B):

  • El dispositiu funciona des de la partició A mentre descarrega la nova versió a la partició B.
  • Un programa petit i molt fiable, el bootloader, verifica la imatge nova i arrenca des de B.
  • Si el nou firmware no arrenca bé o no "confirma" que està sa, el bootloader fa rollback automàtic a A. El dispositiu mai no es queda mort.

Aquesta arquitectura és la diferència entre un OTA de producte seriós i un que, davant d'un tall de llum a mitja actualització, converteix el dispositiu en un petjapapers.

Seguretat: signatura, xifratge i arrencada segura

Una actualització remota és una porta d'entrada perfecta per a un atacant: si pot injectar el seu propi firmware, controla el producte. Per això un OTA seriós es recolza en tres capes:

  • Signatura digital: el dispositiu només accepta firmware signat pel fabricant. Comprova la signatura abans d'instal·lar; si no quadra, el rebutja. Evita firmware fals o manipulat.
  • Xifratge: la imatge viatja xifrada, de manera que ningú no la pugui interceptar i llegir la teva propietat intel·lectual ni descobrir com atacar-la.
  • Arrencada segura (secure boot): el xip només executa codi signat, encadenant la confiança des del bootloader fins a l'aplicació. Encara que algú escrigui a la memòria, el dispositiu no arrencarà un firmware no autoritzat.

Saltar-se aquesta part és l'error més car: un OTA insegur no és una funcionalitat, és una vulnerabilitat.

Com arriba: connectivitat i transport

El "per l'aire" depèn de com es connecti el teu producte. Les vies més habituals:

  • WiFi o cel·lular (4G/NB-IoT/LTE-M): el dispositiu descarrega la imatge directament del servidor, normalment per HTTPS o MQTT amb TLS.
  • Bluetooth Low Energy (BLE DFU): l'actualització arriba des d'una app mòbil que fa de pont. Ideal en wearables i dispositius sense connexió pròpia a internet.
  • Passarel·la (gateway): en xarxes com Zigbee, Thread o LoRa, un concentrador rep l'actualització i la reparteix als dispositius de la xarxa.

La connectivitat condiciona la mida de les imatges, el consum i l'estratègia: no és el mateix actualitzar per WiFi amb corrent que un sensor a bateria per BLE.

Conclusió

Un bon sistema OTA —amb particions A/B, rollback i seguretat per signatura i xifratge— és el que manté un producte viu, segur i conforme a la normativa durant tota la seva vida útil. Dissenyar-lo bé des del principi (memòria, bootloader, claus) és molt més barat que afegir-lo a la força després. A Regular Solids implementem OTA segur i bootloaders a mida en productes encastats; si el teu dispositiu necessita actualitzar-se en camp, parlem-ne.

Continua llegint