Este fallo crítico permite a los atacantes controlar el dispositivo de forma remota, acceder a su cámara y micrófono, e incluso emitir insultos racistas o comentarios ofensivos a través de su altavoz.

El fabricante, Ecovacs, fue alertado de esta falla antes de que fuera expuesta en la conferencia DEF CON 2023. Sin embargo, hasta la fecha, no ha lanzado una solución efectiva. La compañía ha asegurado que lanzará una actualización de seguridad en noviembre para mitigar estos riesgos.

La importancia de esta vulnerabilidad radica en que pone en peligro la privacidad y seguridad de los hogares que utilizan estos dispositivos, exponiendo información personal y familiar. Además, abre un debate sobre la seguridad en la domótica y la responsabilidad de los fabricantes ante fallos críticos de seguridad.

El modelo Deebot X2 Omni, de la marca china Ecovacs, ha sido el principal objetivo de ataques cibernéticos que comenzaron a reportarse a principios de este año. Estos robots, diseñados para realizar tareas de limpieza de manera autónoma, fueron manipulados para llevar a cabo acciones que nada tenían que ver con sus funciones originales.

Según un informe de los expertos, el ataque se produjo debido a una vulnerabilidad en el sistema del robot, que fue aprovechada por los ciberdelincuentes para acceder a funciones avanzadas del dispositivo, como el altavoz, la cámara y el micrófono. Durante la conferencia DEF CON 2023, los especialistas en ciberseguridad Dennis Giese y Braelynn Luedtke alertaron sobre esta falla, relacionada con la conexión Bluetooth, que permitía a los atacantes tomar control de los robots a más de 100 metros de distancia.

Una vez que lograban acceso al dispositivo, podían emitir sonidos y frases ofensivas a través del altavoz, controlar sus movimientos e incluso acceder a la transmisión en vivo de la cámara sin que los propietarios tuvieran conocimiento o consentimiento. Los investigadores también señalaron que esta vulnerabilidad no se limitaba al modelo Deebot X2, sino que afectaba a otros modelos de Ecovacs, como el Spybot Airbot Z1 y las series Deebot N8/T8. Además, advirtieron que una vez comprometido uno de estos robots, otros dispositivos en la misma red podían ser vulnerados si se encontraban dentro del alcance de la conexión del dispositivo atacado.

Las consecuencias de esta vulnerabilidad han sido alarmantes para varios hogares en Estados Unidos. Un residente de Minnesota, Daniel Swenson, relató que su aspiradora comenzó a emitir ruidos extraños y a gritar frases ofensivas, incluyendo insultos racistas, mientras él y su familia estaban en el sofá. Al revisar la aplicación del dispositivo, detectó intentos de acceso no autorizado a la cámara y al control remoto. Ante esta situación, cambió la contraseña y reinició el robot, temiendo que un ciberatacante hubiera estado espiando a su familia.

Otro caso similar ocurrió en Los Ángeles, donde un usuario vio cómo su robot comenzaba a perseguir a su perro, emitiendo insultos y comentarios abusivos. En El Paso, Texas, otro propietario escuchó insultos racistas provenientes del robot hasta que decidió desenchufarlo para detener el ataque.

Ante el aumento de incidentes y quejas de los usuarios, Ecovacs inicialmente minimizó el problema, calificando la vulnerabilidad como “extremadamente rara en entornos de usuarios típicos”. Sin embargo, posteriormente se comprometió a investigar y mejorar la seguridad de sus productos. Martin Ma, director del Comité de Seguridad de Ecovacs, admitió que, tras una evaluación exhaustiva, habían identificado áreas de mejora en su infraestructura de seguridad. La empresa indicó que, aunque no se encontraron pruebas de que los atacantes obtuvieran información personal, sí detectaron intentos de acceso inusuales desde una dirección IP, que fue bloqueada de inmediato.

Además, Ecovacs notificó a sus clientes sobre la necesidad de cambiar las contraseñas de sus cuentas y anunció una próxima actualización de firmware para noviembre de 2024, que buscará solucionar definitivamente este grave problema de seguridad.

Con información de Infobae.