Incidentes Asociados
TL;DR
- Varias aspiradoras robot ECOVACS Deebot X2 fueron hackeadas en ciudades de todo Estados Unidos.
- Se afirma que los robots hackeados hicieron de todo, desde gritar insultos a los dueños hasta perseguir a las mascotas.
- Los investigadores de seguridad habían notificado a la empresa que se encontraron importantes fallos de seguridad en sus robots y en la aplicación que los controla.
La ciberseguridad no es algo que se pueda tomar a la ligera, y un nuevo informe sobre un producto para hogares inteligentes destaca perfectamente ese punto. En el transcurso de varios días, varias aspiradoras robot fueron hackeadas en ciudades de todo Estados Unidos.
ABC News en Australia informa que los piratas informáticos pudieron tomar el control total de las aspiradoras robot en varias ciudades del país. El ataque permitió a los atacantes gritar insultos raciales a los propietarios, controlar de forma remota el dispositivo para perseguir a las mascotas y ver a través de la cámara de la aspiradora. Todas las aspiradoras robot afectadas eran de la misma marca y modelo, la ECOVACS Deebot X2 de fabricación china.
Un informe proviene de un abogado de Minnesota llamado Daniel Swenson. En el caso de Swenson, estaba viendo la televisión cuando notó que su aspiradora hacía ruidos extraños, como una "señal de radio rota o algo así". Swenson le dijo al medio que restableció su contraseña y reinició el robot después de ver que un extraño estaba accediendo a la transmisión en vivo de la cámara y a la función de control remoto. Después de sentarse en el sofá con su esposa y su hijo de 13 años, el robot comenzó a moverse de inmediato nuevamente y la familia de Swenson pudo escuchar obscenidades racistas tan claramente como el día.
"Tuve la impresión de que era un niño, tal vez un adolescente", dijo Swenson. "Tal vez simplemente estaban saltando de un dispositivo a otro jugando con las familias". Desde entonces, el abogado apagó el dispositivo y lo llevó a su garaje, donde permanece apagado. A pesar de lo espeluznante de todo, Swenson dice que podría haber sido peor, el hacker podría haber observado silenciosamente a su familia sin que nadie se diera cuenta. Swenson dice que mantuvo el robot en el mismo piso que el baño principal de la familia y agregó que "nuestros hijos más pequeños se duchan allí".
El incidente en Minnesota ocurrió el 24 de mayo, el mismo día en que un Deebot X2 fue hackeado en Los Ángeles y utilizado para perseguir al perro de su dueño. Otro incidente se reportó en El Paso donde, como en Minnesota, se lanzaron insultos raciales al dueño hasta que lo desenchufó.
No está claro cuántos Deebot X2 fueron hackeados, pero al parecer los investigadores de seguridad advirtieron a ECOVACS seis meses antes sobre graves vulnerabilidades de seguridad en sus robots y su aplicación. La falla más grave fue el conector Bluetooth, que podría dar a alguien acceso completo a más de 300 pies de distancia, lo que es poco probable que sea la causa de estos incidentes. En diciembre de 2023, los investigadores de seguridad Dennis Giese y Braelynn Luedtke también encontraron un problema con el sistema de código PIN que protege la transmisión de la cámara. El código PIN solo lo verificaba la aplicación y no un servidor o el robot, lo que significa que la verificación se puede omitir si tienes los conocimientos técnicos.
ECOVACS fue advertido de este problema antes de que la pareja hiciera público el exploit. Un portavoz afirma que la vulnerabilidad se ha solucionado, pero Giese dijo a ABC que la solución no era suficiente.
Según la publicación, ECOVACS planea lanzar un parche para el Deebot X2 en noviembre. También se dice que la empresa ha enviado un correo electrónico a los clientes para solicitarles que cambien sus contraseñas.