Los robots aspiradores de la empresa china Ecovacs vuelven a estar en el punto de mira por problemas de seguridad, esta vez tras reportarse múltiples incidentes en Estados Unidos. Hackers lograron acceder a los dispositivos y los utilizaron para emitir insultos racistas a través de sus altavoces, mostrando una preocupante vulnerabilidad en el modelo Deebot X2.
Incidentes reportados en diversas ciudades
El ataque más destacado ocurrió en Minnesota, donde Daniel Swenson, un abogado que descansaba en su casa, escuchó sonidos extraños provenientes de su aspiradora. Aunque intentó solucionar el problema cambiando la contraseña y reiniciando el dispositivo, los sonidos continuaron y, finalmente, la máquina comenzó a gritar insultos racistas. Incidentes similares se registraron en ciudades como Los Ángeles, donde un robot persiguió a un perro mientras lanzaba insultos, y en El Paso, donde el propietario tuvo que apagar el aparato manualmente para detener los ataques.
Vulnerabilidades en el sistema
Estos ataques han sido posibles gracias a diversas vulnerabilidades en los dispositivos de Ecovacs. Entre los problemas detectados se encuentra un mal funcionamiento del conector Bluetooth y un sistema de PIN defectuoso que debía proteger el acceso remoto y las transmisiones de video, pero que, en la práctica, no cumple su función.
Este no es un problema nuevo para la compañía. A principios de este año, dos investigadores en ciberseguridad publicaron un informe detallando las múltiples deficiencias en la seguridad de los productos de Ecovacs, que hasta el momento parecen no haber sido completamente solucionadas.
Respuesta de la empresa y sus clientes
A pesar de la gravedad de la situación, la respuesta de la compañía ha sido, según los afectados, insuficiente. Swenson indicó que cuando se puso en contacto con el servicio de atención al cliente de Ecovacs, no le creyeron que su aspiradora estuviera lanzando insultos racistas. Sin embargo, la empresa sugirió que los hackers podrían haber accedido al dispositivo a través de una técnica conocida como “credential stuffing”, en la que contraseñas antiguas robadas de otros servicios se utilizan para acceder a diversas cuentas y dispositivos del usuario.
