Vulnerabilidades en robots Ecovacs permiten espionaje a usuarios

Problemas de seguridad en robots domésticos

A principios de este mes, investigadores de seguridad alertaron sobre una serie de vulnerabilidades en los robots aspiradores y cortacéspedes de Ecovacs, que podrían permitir a los hackers espiar a sus propietarios a través de los micrófonos y cámaras de los dispositivos. Este tipo de situaciones han generado preocupación entre los usuarios de tecnología conectada, quienes a menudo se sienten vulnerables ante la posibilidad de que su privacidad sea invadida.

La respuesta inicial de Ecovacs

En ese momento, Ecovacs se apresuró a comunicar que las fallas identificadas eran "extremadamente raras en entornos de usuario típicos" y que requerían herramientas de hacking especializadas, así como acceso físico al dispositivo. En su declaración, la empresa trató de tranquilizar a los usuarios, afirmando que no había necesidad de preocuparse en exceso por estas vulnerabilidades. Sin embargo, la falta de un compromiso claro para corregir los problemas planteó dudas sobre la seriedad con la que la empresa estaba abordando la cuestión.

Cambio de postura de Ecovacs

Sin embargo, solo dos semanas después, Ecovacs reconsideró su posición y anunció que efectivamente se comprometería a solucionar los fallos de seguridad. Martin Ma, director del comité de seguridad de Ecovacs, expresó en un correo electrónico que la empresa había llevado a cabo una verificación exhaustiva y se había autoevaluado. "Hemos identificado varias áreas donde hay margen de mejora", indicó Ma, añadiendo que la compañía había iniciado mejoras específicas para abordar los problemas señalados por los investigadores.

Revelaciones en la conferencia Def Con

El 10 de agosto, los investigadores Dennis Giese y Braelynn presentaron su trabajo sobre los robots domésticos de Ecovacs en la conferencia anual de hacking Def Con en Las Vegas. Durante su presentación, revelaron que habían analizado 11 dispositivos de Ecovacs y encontrado varias vulnerabilidades significativas. La más preocupante de ellas permitía a cualquier persona conectar su teléfono a un robot Ecovacs a través de Bluetooth desde una distancia de hasta 130 metros, lo que les daba el control del dispositivo. Este fallo también habilitaba a los hackers para monitorizar los robots desde cualquier lugar, ya que estos están conectados a internet mediante Wi-Fi.

Acceso no autorizado tras la venta de dispositivos

Entre las otras vulnerabilidades detectadas, los investigadores encontraron un fallo que permitía a alguien acceder a un robot aspirador incluso después de haberlo vendido y eliminado su cuenta. Esto significa que un antiguo propietario podría espiar a los nuevos dueños del dispositivo, lo que plantea serias preocupaciones sobre la seguridad de la información personal y la privacidad de los usuarios. Este tipo de problemas pone de relieve la importancia de la seguridad en dispositivos conectados, ya que una mala gestión de la información puede llevar a consecuencias graves.

La atención de Ecovacs tras la presentación

En un correo electrónico dirigido a Giese el 16 de agosto, Ma mencionó que la charla de los investigadores en Def Con "captó mi atención". Por esta razón, solicitó al equipo de seguridad de Ecovacs que recuperara la correspondencia que la empresa había mantenido con los investigadores. Según Ma, la compañía "pasó por alto inadvertidamente" los correos electrónicos de los investigadores desde diciembre de 2023. Esto sugiere que, a pesar de las preocupaciones planteadas, la comunicación entre ambas partes no había sido tan fluida como se esperaba.

Compromiso de mejora y colaboración

Ma continuó afirmando que la empresa había revisado cuidadosamente los puntos planteados en correos electrónicos anteriores y las demostraciones realizadas en Def Con 2024. Anunció que Ecovacs planeaba corregir las vulnerabilidades en dos modelos específicos: el Goat G1 y el X1, así como en la aplicación de Ecovacs. Esta decisión representa un paso positivo hacia la mejora de la seguridad de los productos de la empresa.

Valoración del análisis de los investigadores

"Su análisis ha sido muy valorado y apreciado por nuestro equipo técnico. Sus ideas son invaluables para salvaguardar la seguridad y la integridad de nuestros productos, y contribuyen significativamente a la industria de la electrónica de consumo en su conjunto", escribió Ma. La colaboración entre investigadores y empresas puede ser clave para mejorar la seguridad de los dispositivos conectados y, en última instancia, proteger a los consumidores. La respuesta de Ecovacs muestra que la empresa ha tomado en serio las preocupaciones sobre la seguridad, lo que podría ser un modelo a seguir para otros fabricantes en la industria.