Las aspiradoras robóticas pirateadas en EE. UU. comenzaron a gritar insultos

Es una historia tan antigua como… la era del Internet de las cosas. Se ha informado que robots aspiradores fabricados por Ecovacs deambulan por las casas de las personas, gritándoles malas palabras a través de los parlantes integrados después de que se descubrió que el software de la compañía era vulnerable a la intrusión.

ABC Noticias en Australia informa que recientemente hubo varios casos en los EE. UU. en los que los propietarios de aspiradoras Ecovacs notaron que sus dispositivos actuaban de manera inusual.

“Sonó como una señal de radio interrumpida o algo así”, dijo Daniel Swenson al medio. “Se podían escuchar fragmentos de tal vez una voz”. Abrió la aplicación de la aspiradora y descubrió que un extraño estaba accediendo a la cámara en vivo y a la función de control remoto, pero asumió que podría ser un error. Después de restablecer la contraseña y reiniciar el robot, la aspiradora rápidamente comenzó a moverse nuevamente:

Esta vez, no hubo ambigüedad sobre lo que salía del altavoz. Una voz gritaba obscenidades racistas, fuerte y clara, justo delante del hijo del señor Swenson.

“Malditos negros”, gritaba la voz, una y otra vez.

Quizás la mejor parte de esta anécdota fue la incrédula conclusión de Swenson de que la situación “podría haber sido peor”. Pero tiene razón en que fue amable por parte del hacker hacerle saber que su aspiradora fue pirateada en lugar de espiarlo indefinidamente.

El problema más común que tiene la gente con los llamados dispositivos domésticos “inteligentes” es que a menudo requieren una suscripción de software para acceder a la mayoría de las funciones, y si el fabricante deja de brindar soporte al dispositivo, simplemente se convierte en un pisapapeles.

El problema más inquietante surge cuando se accede a los dispositivos inteligentes de forma remota y el fabricante nunca consideró (ni se preocupó) la posibilidad de que los estafadores pudieran aprovechar esto para atormentar a las personas en sus propios hogares. El acceso remoto es conveniente, pero cada dos años escuchamos sobre algo atroz, como que intrusos acceden a un monitor para bebés y susurran a través de él por la noche, o acceden a la puerta de su garaje para meterse con su dueño. Muchas veces la intención de estos intrusos es simplemente ser punks. Pero cabe preguntarse cuántas veces sucede y nadie se entera.

El problema es que la mayoría de estas empresas de hogares inteligentes venden hardware de consumo y no quieren ni les importa invertir mucho en seguridad. Puedes comprar una de las docenas de robovacs en Amazon; la mayoría de la gente quiere el más barato. Entonces esto es lo que nos encontramos, una empresa que no implementa medidas de seguridad básicas.

Y “básico” parece ser justo aquí. ABC descubrió que, aunque las cuentas de Ecovacs están protegidas con contraseña y se requiere un código PIN adicional de cuatro dígitos para acceder al video, ese código PIN no se valida en el lado del servidor, es decir, cualquier persona con los conocimientos básicos de una herramienta como Chrome. El inspector web podría evitarlo. Es probable que Swenson estuviera reutilizando credenciales de otros servicios, pero el código debería haber sido un factor adicional que impidiera el acceso. Como mínimo, todo lo que Ecovacs realmente necesita hacer es una validación básica de “si es verdadero” en sus servidores antes de abrir la transmisión de video.

Según se informa, Ecovacs fue informado sobre la vulnerabilidad en 2023 y no tomó medidas hasta hace poco. Dice que en noviembre se lanzará una actualización de seguridad más sustancial.

Si está pagando precios bajísimos por un robot aspirador, es posible que obtenga lo que está pagando.