Incidentes Asociados
Los propietarios de aspiradoras robot en varias ciudades de EE. UU. han informado de que sus dispositivos han sido pirateados. Desconocidos están accediendo a las transmisiones en vivo de la cámara y a las funciones de control remoto, gritando insultos a través de los altavoces integrados. Algunos robots se volvieron rebeldes y persiguieron perros por la casa, según una investigación de ABC.
Todos los modelos afectados eran Ecovacs Deebot X2 de fabricación china, que actualmente se venden al por menor a unos 900 dólares. La empresa confirmó la vulnerabilidad que afecta a algunos de sus productos.
Según el informe de ABC, la ola de piratería duró unos días en varias ciudades de EE. UU. Algunos usuarios le dijeron a ABC que sus robots sonaban como señales de radio entrecortadas, y la aplicación Ecovacs reveló que un atacante estaba accediendo a la transmisión en vivo de la cámara y a la función de control remoto.
A pesar de restablecer la contraseña y reiniciar el robot, el comportamiento errático pronto comenzó de nuevo. Los propietarios se sorprendieron al descubrir que el robot podría usarse para espiarlos en silencio durante días.
Los investigadores de seguridad habían notificado previamente a Ecovacs fallas de seguridad importantes. Una afectó al conector Bluetooth, que permite un acceso completo al modelo X2 desde más de 100 metros de distancia. Otro sistema defectuoso fue el código PIN que protege la transmisión de video del robot y la función de control remoto.
Los piratas informáticos lograron desactivar el sonido de advertencia que debería reproducirse cuando se usa la cámara.
Ecovacs le dijo a ABC que no encontró evidencia de que las cuentas de los propietarios fueran pirateadas ni señales de ninguna violación de los sistemas de Ecovacs. Sin embargo, los investigadores de ciberseguridad demostraron anteriormente cómo se podía eludir el PIN de cuatro dígitos que protege el dispositivo, ya que solo lo verificaba la aplicación en lugar del servidor o el robot.
Ecovacs lanzó un parche para esta falla. Sin embargo, fuentes de ABC dijeron que era insuficiente.
A fines de mayo de 2024, Ecovacs identificó un evento de robo de credenciales cuando varios intentos de inicio de sesión provenían de la misma dirección IP, que fue bloqueada de inmediato.
La compañía planea mejorar aún más la seguridad de la serie X2 mediante la emisión de una actualización de firmware inalámbrica en noviembre. Ecovacs señaló que los usuarios también deben implementar sus propios pasos para mejorar su seguridad personal en línea, como contraseñas seguras y únicas y fortalecer la seguridad de WiFi.