- Vulnerabilidad en aspiradoras Ecovacs Deebot X2 permite control remoto a hackers.
- Usuarios reportan mensajes racistas y persecución de mascotas desde los robots.
- Ecovacs promete actualización de seguridad para resolver el fallo en noviembre.
Lo esencial: investigadores de ciberseguridad detectaron una grave vulnerabilidad en la serie de aspiradoras robot Ecovacs Deebot X2, utilizada por ciberdelincuentes para espiar y hostigar a los usuarios. El fallo permite a los atacantes controlar el dispositivo de forma remota, acceder a su cámara y micrófono, y emitir insultos racistas o comentarios ofensivos.
El fabricante fue alertado de la falla antes de ser expuesta en la conferencia DEF CON 2023, pero hasta ahora no ha emitido una solución. La compañía asegura que lanzará una actualización de seguridad en noviembre para mitigar los riesgos.
Por qué importa: la vulnerabilidad pone en riesgo la privacidad y seguridad de los hogares que utilizan estos dispositivos, exponiendo información personal y familiar. Además, abre un debate sobre la seguridad en la domótica y la responsabilidad de los fabricantes ante fallos críticos de seguridad.
Aspiradoras robot hackeadas: cómo sucedió
El modelo Deebot X2 Omni de la marca china Ecovacs fue el principal objetivo de los ataques cibernéticos que comenzaron a reportarse a principios de año. Estos robots, diseñados para realizar tareas de limpieza de manera autónoma, fueron manipulados para llevar a cabo acciones que nada tenían que ver con sus funciones originales.
Según un informe de la empresa, el ataque se produjo debido a una vulnerabilidad en el sistema del robot, que fue aprovechada por los ciberdelincuentes para acceder a funciones avanzadas del dispositivo, como el altavoz, la cámara y el micrófono.
Expertos en ciberseguridad, como Dennis Giese y Braelynn Luedtke, alertaron de esta falla en una presentación realizada durante la conferencia de seguridad DEF CON 2023. Explicaron que la vulnerabilidad estaba relacionada con la conexión Bluetooth, la cual permitía a los atacantes tomar el control de los robots a más de 100 metros de distancia.
Una vez que lograban acceso al dispositivo, podían emitir sonidos y frases ofensivas a través del altavoz, controlar sus movimientos e incluso acceder a la transmisión en vivo de la cámara, sin que los propietarios tuvieran conocimiento o consentimiento de lo que estaba sucediendo.
Los investigadores también destacaron que esta vulnerabilidad no se limitaba al modelo Deebot X2, sino que afectaba a otros modelos de Ecovacs, como el Spybot Airbot Z1 y las series Deebot N8/T8, entre otros. De acuerdo con sus estudios, una vez comprometido uno de estos robots, otros dispositivos en la red de la misma marca podían ser pirateados si se encontraban dentro del alcance de la conexión del dispositivo vulnerado.
Cuáles fueron los problemas que vivieron los usuarios
Las consecuencias de esta vulnerabilidad no tardaron en hacerse sentir en varios hogares de Estados Unidos. Uno de los testimonios fue el de Daniel Swenson, residente de Minnesota, quien relató a ABC News que, un día a finales de mayo, su aspiradora comenzó a emitir ruidos extraños mientras estaba en el sofá con su familia.
A los pocos minutos, el robot empezó a gritar frases ofensivas, entre ellas insultos racistas, dejando a todos en estado de shock. Swenson, al revisar la aplicación del dispositivo, detectó que alguien estaba intentando acceder a las imágenes de la cámara y al control remoto del aparato. Su reacción fue inmediata: cambió la contraseña y reinició el robot, preocupado de que el ciberatacante pudiera haber estado espiando a su familia.
Otro caso similar ocurrió en Los Ángeles, donde un usuario experimentó cómo su robot comenzó a perseguir a su perro, emitiendo insultos y comentarios abusivos. La situación causó gran alarma, pues el control remoto del aparato dejaba en claro que alguien más estaba manipulándolo. Otro incidente reportado en El Paso, Texas, incluyó insultos racistas emitidos por el robot hasta que el propietario decidió desenchufarlo para detener el ataque.
Cuál será la solución al hackeo de las aspiradoras robot
La empresa Ecovacs, fabricante de estos robots, emitió una respuesta tras el aumento de los incidentes y las quejas de los usuarios. Aunque inicialmente minimizó el alcance del problema, calificando la vulnerabilidad como “extremadamente rara en entornos de usuarios típicos” y afirmando que requería “herramientas de piratería especializadas y acceso físico al dispositivo”, posteriormente se comprometió a investigar y mejorar la seguridad de sus productos.
Martin Ma, director del Comité de Seguridad de Ecovacs, reconoció que, luego de una “evaluación exhaustiva”, habían identificado áreas con margen de mejora en su infraestructura de seguridad. La compañía indicó que, aunque no se encontraron pruebas de que los atacantes hubieran obtenido información personal como nombres de usuario y contraseñas, sí detectaron intentos de acceso inusuales desde una misma dirección IP, la cual fue bloqueada de inmediato.
Además, Ecovacs envió una notificación a sus clientes para que cambiaran las contraseñas de sus cuentas y anunció una próxima actualización de firmware en noviembre de 2024 para solucionar definitivamente el problema.