Internet está lleno de vídeos de gatos y perros 'cabalgando' sobre Roombas, pero parece que la 'hora de la venganza' de estos robots aspiradora ha llegado. No estamos ante 'la revolución de las máquinas' sino ante -una vez más- frente a la intervención de los ciberdelincuentes.
Piratas informáticos han conseguido hackear las aspiradoras robot Ecovacs Deebot X2 Omni en varias ciudades de EE.UU. usándolas para perseguir mascotas y gritar insultos racistas a sus dueños.
El medio ABC News recoge testimonios de propietarios de varios de estos gadgets que cuentan cómo el pasado mes de mayo, tras reiniciar sus robots aspiradora, estas comenzaron a actuar de manera algo extraña.
En un caso oyeron la voz de un adolescente vociferando insultos a través del altavoz del dispositivo.
La marca Ecovacs ha compartido un comunicado donde explica que había identificado un ataque de relleno de credenciales y bloqueó la dirección IP desde la que se originó. El fabricante asegura que no ha hallado evidencias de que los nombres de usuario y contraseñas fueran recopilados por el atacante.
Crónica de una vulnerabilidad anunciada
Hace tiempo investigadores demostraron una vulnerabilidad que permitía eludir la entrada de PIN del Deebot X2 para obtener acceso a la aspiradora. Dennis Giese y Braelynn Luedkte revelaban permisos a los atacantes para acceder a funciones como la transmisión de vídeo sin el conocimiento ni el consentimiento de los usuarios.
Estos analistas habían notificado al fabricante sobre el problema sin obtener una respuesta por parte del mismo. En la conferencia de ciberseguridad DEF CON 2023 mostraron cómo los actores de amenazas podían controlar los robots aspiradoras y los cortacéspedes de la marca para espiar a sus propietarios sirviéndose tanto de los micrófonos como de las cámaras de los gadgets.
La clave estaba en que había una vulnerabilidad con la que cualquier persona podía conectarse a uno de estos robots mediante Bluetooth y controlarlos a menos de 100 metros de distancia. Después, podían acceder a su conectividad WiFi y acceder a información sobre las casas almacenadas.
Evovacs asegura en su comunicado que resolvió dicho problema y se ha comprometido a "mejorar aún más la seguridad" con una actualización que lanzará en noviembre.
En un escrito a TechCrunch han señalado que las fallas encontradas por los investigadores eran "extremadamente raras" y requerían de herramientas de piratería especializadas y "acceso físico al dispositivo".
16/10/2024 Actualización de la información
Desde Ecovacs han remitido a Escudo Digital un comunicado sobre esta incidencia en sus productos en el que manifiestan que "después de las conversaciones con Dennis Giese, el investigador de ciberseguridad mencionado en estos artículos, y una evaluación interna de ECOVACS, los métodos actuales de hackeo de aspiradoras robóticas a través de conexiones Bluetooth no afectan a los consumidores comunes. Las técnicas de hackeo empleadas por Dennis Giese y el periodista de ABC, Julian Fell, requieren los siguientes requisitos previos:
- Para activar el Bluetooth en la aspiradora robótica, se debe acceder físicamente al dispositivo y presionar el botón de conexión a la red o el botón de reinicio. La señal de Bluetooth se emitirá por un máximo de 20 minutos antes de apagarse automáticamente.
- El invasor necesita realizar ingeniería inversa del firmware y la aplicación, además de tener un profundo conocimiento del protocolo BLE para completar los pasos subsiguientes del hackeo.
Por lo tanto, los usuarios no deben tener preocupaciones sobre la seguridad del producto. Enfatizamos que todo hackeo no autorizado de productos, algoritmos y otras acciones similares es ilegal en todo el mundo, y tanto quienes hackean como quienes se benefician del hackeo están sujetos a las consecuencias legales correspondientes".
Asimismo, afirman que "ECOVACS actualiza regularmente la protección de seguridad de sus productos durante las actualizaciones rutinarias de software y políticas de seguridad para evitar la escalada de métodos de hackeo y el impacto incierto causado por la proliferación de métodos y scripts de hackeo" y recomiendan "que los usuarios configuren contraseñas diferentes para diferentes servicios y las cambien regularmente. En respuesta a tales actividades maliciosas, ECOVACS ha probado e implementado mecanismos adicionales de verificación de inicio de sesión multifactorial y activación de tokens en tiempo real, y continuará actualizando la estrategia defensiva".