Incidentes Asociados
En el espacio de unos pocos días, los robots aspiradores de varias ciudades de Estados Unidos fueron hackeados, y el atacante los controlaba físicamente y gritaba obscenidades a través de sus altavoces integrados.
Los robots afectados eran todos Ecovacs Deebot X2 de fabricación china, el modelo exacto que la ABC pudo hackear como prueba de una falla de seguridad crítica.
El abogado de Minnesota Daniel Swenson estaba viendo la televisión cuando su robot comenzó a funcionar mal.
"Sonaba como una señal de radio entrecortada o algo así", dijo a la ABC. "Se podían escuchar fragmentos de una voz".
A través de la aplicación Ecovacs, vio que un extraño estaba accediendo a la transmisión en vivo de su cámara y a la función de control remoto.
El Sr. Swenson lo descartó como una especie de falla, restableció su contraseña, reinició el robot y se sentó nuevamente en el sofá junto a su esposa y su hijo de 13 años.
Daniel Swenson de pie en la habitación donde su robot aspirador fue hackeado. (Suministrado)
Casi de inmediato, comenzó a moverse nuevamente.
Esta vez, no había ninguna ambigüedad sobre lo que salía del altavoz. Una voz gritaba obscenidades racistas, alto y claro, justo frente al hijo del Sr. Swenson.
"Malditos n******s", gritó la voz, una y otra vez.
"Tuve la impresión de que era un niño, tal vez un adolescente [hablando]", dijo Swenson. "Tal vez simplemente estaban saltando de un dispositivo a otro jugando con las familias".
La segunda vez, lo apagó.
Podría haber sido peor
El Sr. Swenson mantuvo su aspiradora robot en el mismo piso que el baño principal de la familia.
"Nuestros hijos más pequeños se duchan allí", dijo. "Pensé que podría pillar a mis hijos o incluso a mí, ya sabe, sin ropa".
A pesar de los insultos, el Sr. Swenson se alegró de que los piratas informáticos hubieran anunciado su presencia tan fuerte.
Habría sido mucho peor, dijo, si hubieran decidido observar en silencio a su familia dentro de su casa.
El Ecovacs X2 tiene una función de control remoto que permite el acceso a la cámara del dispositivo. (ABC News: Esther Linder)
Podrían haber mirado a través de la cámara de su robot y escuchado a través del micrófono, sin que él tuviera la menor idea.
"Fue un shock", dijo. "Y luego fue casi como miedo, asco".
Aunque su hijo no entendió del todo lo "espeluznante" del encuentro, el Sr. Swenson no quería correr riesgos.
Llevó el dispositivo al garaje y nunca más lo encendió.
Robots hackeados en varias ciudades
Varias personas, todas con sede en los EE. UU., han informado incidentes de piratería similares con pocos días de diferencia.
El 24 de mayo, el mismo día en que el dispositivo de Swenson fue hackeado, un Deebot X2 se volvió loco y persiguió al perro de su dueño por su casa de Los Ángeles.
El robot estaba siendo manejado desde lejos, con comentarios abusivos saliendo por los altavoces.
Cinco días después, otro dispositivo fue infiltrado.
A altas horas de la noche, un robot Ecovacs en El Paso comenzó a lanzar insultos raciales a su dueño hasta que lo desenchufó.
No está claro cuántos dispositivos de la empresa fueron hackeados en total.
Seis meses antes, los investigadores de seguridad habían intentado notificar a Ecovacs importantes fallos de seguridad en sus aspiradoras robot y en la aplicación que las controla.
El más grave fue un fallo en el conector Bluetooth, que permitía acceso completo al Ecovacs X2 desde más de 100 metros de distancia.
Dada la naturaleza distribuida de los ataques, es poco probable que esta vulnerabilidad haya sido explotada en este caso.
También se sabía que el sistema de código PIN que protege la transmisión de video del robot (y la función de control remoto) era defectuoso, y el sonido de advertencia que se supone que se reproduce cuando se observa la cámara se podía desactivar desde lejos.
Estos problemas de seguridad podrían explicar cómo los atacantes tomaron el control de varios robots en ubicaciones separadas y cómo podrían haber vigilado silenciosamente a sus víctimas una vez que ingresaron.
¿Sabe algo sobre los problemas de seguridad de Ecovacs? Envíeme un mensaje a _ secure@jtfell.com. (La clave PGP está disponible en _ mi página de autor)._
Ecovacs confirma un ciberataque a su dispositivo
En los días posteriores a los incidentes con su robot aspirador Ecovacs, Daniel Swenson presentó una queja a la empresa.
Después de algunas idas y venidas con el personal de soporte, recibió una llamada de un empleado de alto rango de Ecovacs con sede en los EE. UU.
"Debe haber dicho tres o cuatro veces que debería tener un video de lo que sucedió.
"Cada vez le dije: 'sí, eso sería genial, pero estaba más concentrado en el hecho de que un robot pirateado estaba en medio de mi sala de estar observándonos y posiblemente grabándonos'".
El empleado parecía no creer lo que estaba diciendo, dice Swenson, a pesar de que varios otros propietarios habían informado de ataques similares en la misma época.
"¿Fue esto un esfuerzo para disuadirme de seguir con mis quejas?", pregunta.
Después de esta llamada, se le informó que se había realizado una "investigación de seguridad".
"Su cuenta de Ecovacs y su contraseña han sido adquiridas por una persona no autorizada", le dijo un representante de la empresa por correo electrónico.
También dijeron que el equipo técnico de la empresa había identificado la dirección IP del culpable y la había desactivado para evitar un mayor acceso.
En un correo electrónico posterior, le dijeron que había "una gran posibilidad de que su cuenta de Ecovacs se viera afectada por un 'relleno de credenciales'". Ciberataque."
Esto ocurre cuando alguien reutiliza el mismo nombre de usuario y contraseña en varios sitios web y la combinación es robada en un ciberataque separado.
La empresa dijo a la ABC que "no encontró evidencia" de que las cuentas fueran pirateadas a través de "ninguna violación de los sistemas de Ecovacs".
Una falla de seguridad conocida podría ser la culpable
Incluso si el Sr. Swenson hubiera utilizado el mismo nombre de usuario y contraseña en otros sitios, y si esas credenciales se hubieran filtrado en línea, eso no debería haber sido suficiente para acceder a la transmisión de video o para controlar el robot de forma remota.
Se supone que estas funciones están protegidas por un PIN de cuatro dígitos.
Sin embargo, un par de investigadores de ciberseguridad habían revelado que se podía eludir en una conferencia de piratería en diciembre de 2023.
Dennis Giese y Braelynn Luedtke dijeron en el escenario que se basaba en un "sistema de honor".
Dennis Giese y Braelynn Luedtke presentan sus hallazgos en una conferencia de piratería en diciembre de 2023. (Fuente: Chaos Communication Congress)
El código PIN solo lo verificaba la aplicación, en lugar del servidor o el robot. Lo que significa que cualquier persona con los conocimientos técnicos podría eludir la verificación por completo.
Habían advertido a Ecovacs sobre el problema antes de hacer público el exploit.
Un portavoz de Ecovacs dijo que este fallo ya se ha solucionado, sin embargo, Giese dijo a la ABC que la solución de la empresa no era suficiente para tapar el agujero de seguridad.
El portavoz también dijo que la empresa "envió un correo electrónico de inmediato" instruyendo a los clientes a cambiar sus contraseñas después del incidente.
Ecovacs dijo que emitiría una actualización de seguridad para los propietarios de su serie X2 en noviembre.
Swenson dijo que no se le informó del problema del código PIN en ninguna de sus comunicaciones con Ecovacs.
"Les pregunté si esto era algo conocido", dijo. "Si le había sucedido a otras personas".
"Simplemente actúan sorprendidos, como si no hubiera sucedido".
Lea la declaración completa de Ecovacs aquí (Descargar PDF).