Una grave vulnerabilidad detectada en la serie de robots aspiradores Evovacs Deebot X2 permite a los ciberdelincuentes tomar el control de estos dispositivos de manera remota, exponiendo a sus propietarios a situaciones inquietantes como la emisión de insultos racistas y comentarios ofensivos a través de los altavoces de los robots, así como la posibilidad de manipular el movimiento de los aparatos para que persigan a mascotas.
El problema fue identificado hace algunos meses por los investigadores en ciberseguridad Dennis Giese y Braelynn Luedtke, quienes alertaron sobre la falla en estos dispositivos inteligentes, informa Ep. A través de su análisis, determinaron que los atacantes podían acceder a diversas funciones del robot, incluidas las cámaras y micrófonos integrados, sin el conocimiento de los propietarios. La vulnerabilidad fue revelada públicamente en agosto de 2023, en el marco de la conferencia DEF CON, un evento clave en el ámbito de la piratería informática y la ciberseguridad.
Los modelos de robots aspiradores analizados incluyen una amplia gama de productos fabricados por Ecovacs, entre ellos el Ecovacs Deebot X2, el Ecovacs Spybot Airbot Z1, la serie Deebot 900, el Goat G1, el Deebot N8/T8, el N9/T9, el N10/T10, el X1, el T20, y los modelos Airbot ANDY y AVA.
Los investigadores advirtieron que estas fallas permitían a los hackers conectarse a los robots mediante Bluetooth a una distancia superior a los 100 metros. Una vez comprometido el dispositivo, el atacante podía acceder a la red WiFi del hogar, conocer detalles como los mapas de las habitaciones generados por el robot aspirador y controlar a distancia todas las funciones del aparato.
Aunque Giese y Luedtke informaron al fabricante sobre este riesgo antes de hacerlo público, Ecovacs no respondió de inmediato a las advertencias. Sin embargo, en su presentación en DEF CON, los expertos profundizaron en los riesgos y demostraron cómo los robots aspiradores y los cortacésped de Ecovacs podían ser manipulados fácilmente para espiar a los usuarios. En el caso de los cortacésped, indicaron que eran más difíciles de hackear debido a que se reinician automáticamente a diario, pero el riesgo seguía siendo alto.
Un aspecto especialmente preocupante que destacaron los investigadores fue que si un robot de la marca era vulnerado, otros dispositivos del mismo ecosistema, como otros aspiradores o cortacésped conectados a la misma red, también podían ser atacados. Este riesgo crecía considerablemente en entornos donde coexistían múltiples dispositivos inteligentes de la misma marca.
Por su parte, Ecovacs minimizó inicialmente el problema al afirmar que estas vulnerabilidades eran “extremadamente raras en entornos de usuarios típicos” y que requerían disponer de herramientas de hacking especializadas y acceso físico al dispositivo. in embargo, un informe de TechCrunch recoge declaraciones de la compañía en las que admite que, tras un “autoexamen exhaustivo”, identificaron varias áreas donde había margen de mejora, y que ya habían comenzado a implementar cambios en su servicio para abordar los problemas señalados por los investigadores.
Comentarios racistas, insultos…
A pesar de estas promesas, recientes pruebas llevadas a cabo por Julian Fell, periodista de ABC News, han demostrado que los problemas persisten. En una demostración realizada en la oficina de un voluntario llamado Sean Kelly, Fell logró hackear un robot aspirador Deebot X2 utilizando un smartphone y la aplicación del dispositivo.
Lo más sorprendente es que logró hacerlo desde un parque cercano, a 140 metros de distancia, y a través de la conectividad Bluetooth. Con esto, Fell no solo controló el robot, sino que también accedió a la transmisión de video en tiempo real que la cámara del dispositivo captaba, mientras Giese, desde Alemania, recibía las imágenes sin dificultad.
Tras esta demostración, otros usuarios afectados han compartido sus inquietantes experiencias con Fell. Un abogado de Minnesota relató que su robot aspirador emitió extraños sonidos, como si se tratara de una señal de radio entrecortada, antes de que una voz comenzara a escucharse a través del dispositivo. Al revisar la aplicación de control del robot, descubrió que un extraño había accedido a la transmisión de video en vivo y a la función de control remoto. Aunque cambió la contraseña y reinició el dispositivo, poco después el robot comenzó a emitir comentarios racistas, lo que le llevó a pensar que el atacante era posiblemente un adolescente.
Otra persona de Los Ángeles informó que su robot aspirador comenzó a perseguir a su perro por toda la casa, mientras emitía insultos. En un caso similar, un usuario de El Paso, Texas, también reportó que su Deebot X2 fue hackeado y que comenzó a proferir insultos racistas hasta que decidió desconectarlo de la fuente de alimentación.
Intento de robo de credenciales
Frente a estas alarmantes situaciones, Ecovacs respondió a ABC News mediante un comunicado en el que aseguró que, a finales de mayo de 2024, llevaron a cabo una investigación interna y no encontraron pruebas que sugirieran que terceros no autorizados hubieran tenido acceso a nombres de usuario y contraseñas debido a una violación de sus sistemas.
Sin embargo, admitieron que detectaron un intento de robo de credenciales en el que un tercero intentó utilizar direcciones de correo electrónico y contraseñas para acceder a cuentas de clientes. La compañía indicó que bloqueó la dirección IP responsable de estos intentos tras detectar un volumen de intentos de inicio de sesión significativamente superior al promedio diario.
Además, Ecovacs informó que habían advertido a los usuarios afectados para que cambiaran las contraseñas de sus cuentas como medida de precaución. Finalmente, la compañía confirmó que lanzará una actualización de firmware inalámbrica (OTA) para los propietarios de la serie Deebot X2 en noviembre de 2024, con el fin de corregir los problemas de seguridad detectados.
