Antes miraba a mi robot aspirador con amor y satisfacción, ¡me ahorra tanto trabajo! Ahora, no puedo evitar sentirme un poco intimidado y observado por mi electrodoméstico favorito (después de la videoconsola), y no puedo evitar preguntarme si me está mirando o me escucha. Y si yo tuviera un robot aspirador Ecovac, sí que sería algo que me preocuparía bastante y no tardaría en echar una manta sobre su cámara furtiva.
Según un nuevo informe y el trabajo de veteranos piratas informáticos de aspiradoras robot, algunas aspiradoras Ecovac pueden, con cierta habilidad pero sin acceso físico, ser pirateadas, dando a los posibles atacantes acceso a todos los sistemas y sensores de a bordo, incluida la cámara.
Es una historia sencilla y algo inquietante: Un reportero de ABC Australia, Julian Fell, siguió la pista de los informes de que algunas aspiradoras Ecovac podían piratearse y pronto, con el permiso de un propietario de Ecovac, pirateó una aspiradora robot en la seguridad de las oficinas de su web de noticias.
Sin ser hacker, Fell trabajó con el investigador en ciberseguridad Dennis Giese, quien (junto con sus colaboradores Braelynn Luedtke y Chris Anderson) descubrió el pirateo y lleva años investigando las vulnerabilidades de los robots aspiradores. Por correo electrónico, Giese me dijo que ha investigado a la mayoría de los principales fabricantes de robots aspiradores, incluidos Neato e iRobot. «Ecovacs ha tenido un poco de mala suerte este año, ya que suelo cambiar de proveedor cada año. El año que viene puede que le toque a otro vendedor».
Giese desarrolló una carga útil y todo lo que Fell tuvo que hacer fue situarse fuera de sus oficinas, conectarse al robot aspirador por Bluetooth y descargarle la carga útil cifrada de Giese. Esto activó una función en la aspiradora Ecovac, que descargó un script del servidor de Giese y lo ejecutó. En unos instantes, tanto Fell como Giese tuvieron acceso a la cámara del robot aspirador. Pudieron ver lo que veía y, lo que es más escalofriante, pudieron, según el informe, utilizar el altavoz para enviar un mensaje al propietario del Ecovac: «Hola Sean, te estoy viendooooo». A mí me daría un ataque.
En ningún momento durante este proceso el robot aspirador indicó que estuviera bajo control externo.
Ecovac en primera persona
Al ser preguntados sobre esta historia de hackeo, Ecovacs me envió esta respuesta:
«ECOVACS concede la máxima prioridad a la seguridad de los datos y la privacidad de los clientes. Para abordar algunos problemas de seguridad planteados en los últimos meses, el Comité de Seguridad de ECOVACS inició un proceso de revisión interna de las conexiones de red y el almacenamiento de datos. Como resultado, hemos mejorado la seguridad del producto en múltiples dimensiones, y seguiremos reforzando la seguridad del sistema en próximas actualizaciones..»
Esto difiere ligeramente de lo que la empresa dijo a TechCrunch en agosto. En aquel momento, mencionó el proceso de revisión interna, pero también dijo que los consumidores no tenían de qué preocuparse, afirmando en la declaración a TechCrunch: «Los problemas de seguridad señalados por Giese y Braelynn son extremadamente raros en entornos de usuario típicos y requieren herramientas de hacking especializadas y acceso físico al dispositivo. Por lo tanto, los usuarios pueden estar seguros de que no tienen por qué preocuparse en exceso».
Aunque es probable que Ecovac tuviera razón sobre las herramientas de programación, le pregunté a Giese sobre la afirmación de «acceso físico», ya que el informe de Fell detallaba cómo utilizó únicamente una conexión Bluetooth desde fuera de su oficina y la carga útil de su teléfono para piratear la aspiradora.
Giese me dijo que hay muchas vulnerabilidades diferentes, pero que para la que Fell pirateó «sólo se necesita un teléfono y la carga mágica. No hay acceso físico, ni siquiera necesitas saber dónde está el robot, a quién pertenece o qué modelo es. Si estás al alcance, puedes hacerlo».
Giese informó por primera vez a Ecovacs de la vulnerabilidad en diciembre de 2023 y contó a Fell que la empresa ni siquiera respondió inicialmente al mensaje. Giese, sin embargo, no es un hacker de Black Hat y no tiene previsto hacer públicos los detalles del pirateo. De hecho, no tiene ningún problema particular con Ecovacs.
«Parece que 'muerdo' a esa empresa y quiero perjudicarla, pero no es cierto. No estoy súper centrado en Ecovacs y ya habría pasado página si se hubieran solucionado los problemas», dijo Giese.
Añadió que no culpa necesariamente a Ecovacs de estas y otras vulnerabilidades de los robots aspiradores. Afirma que la empresa pagó para obtener las certificaciones adecuadas. «Ecovacs también es una víctima. Pagaron dinero a alguien que debía certificarlos según una norma (ETSI xxxx). Había un montón de cosas que deberían haber sido encontradas (por ejemplo, los problemas de SSL), pero no lo fueron».
En cuanto a lo que debes hacer si tienes un robot aspirador Ecovacs: empieza por asegurarte de que todo su software está actualizado. Puede que Ecovacs no esté de acuerdo en que se trata de una vulnerabilidad peligrosa, pero Ecovacs nos dijo: «Hemos mejorado la seguridad del producto en múltiples dimensiones», lo que a mí me suena a actualizaciones de software.
Mientras tanto, puedes hacer lo que hizo ese consumidor de Ecovacs que puso una manta sobre la cámara del robot aspirador cuando no esté en uso.
También te gustará...
Spider-Man: Beyond the Spider-Verse podría estar a punto de anunciar su lanzamiento - los fans han visto un gran logo de Miles Morales en Nueva York
El Samsung Galaxy S25 podría lanzarse un día antes de lo esperado - Y además se han filtrado más detalles de las especificaciones
Apple podría lanzar el iPhone más fino de su historia el año que viene
